NTTデータ、「TERASOLUNA」向けにApache Struts 1の独自パッチを提供無償版向けパッチは準備中

NTTデータは2014年4月28日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 1」について、独自に対策パッチを開発し、「TERASOLUNA Server Framework for Java」を利用しているシステムに対し、順次適用作業を実施していくことを明らかにした。

» 2014年04月30日 21時09分 公開
[高橋睦美@IT]

 NTTデータは2014年4月28日、脆弱(ぜいじゃく)性の存在が指摘されていたオープンソースのWebアプリケーションフレームワーク「Apache Struts 1」について、独自に対策パッチを開発したことを明らかにした。同社およびNTTデータグループ会社と保守・維持契約を締結しており、「TERASOLUNA Server Framework for Java」を利用しているシステムに対し、順次適用作業を実施していくという。

 TERASOLUNA Server Framework for Javaは、NTTデータが2007年にオープンソースとして公開した開発フレームワークだ。プレゼンテーション層にApache Struts 1を利用し、業務ロジック周りの処理基盤なども提供する。

 一方、Apache Struts 2には、外部からクラスローダーを操作されてしまう脆弱性が存在することが指摘されていた。さらに2014年4月24日には、既にサポートの終了しているApache Struts 1にもこれと同種の脆弱性が存在していることも、セキュリティ企業によって指摘された。悪用されれば、Webサーバー内の情報を盗み取られたり、Webアプリケーションを一時的に使用できない状態にされる恐れがある他、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性がある(関連記事)。

 Strutsの開発元であるApache Software Foundationは、Struts 2に関し、脆弱性を修正したバージョン2.3.16.2を公開した。一方Struts 1についてはサポートが終了しており、対策パッチの提供は予定されていない。

 このため、国税庁の「e-Taxソフト(WEB版)」「確定申告書等作成コーナー」「NISA(日本版ISA)コーナー」という3サービスや、情報処理推進機構の「ITパスポート試験」(iパス)システムなどが、一時サービスを停止し、脆弱性対応を行っていた(関連記事)。

 NTTデータではサポート終了という背景に加え、「Apache Struts 2がStruts 1と根本的に構造が異なり、アップデートが容易ではないため、多くのシステムがStruts 1を利用して動作している」ことから、TERASOLUNA Server Framework for Javaを使用しているシステムを対象に、独自にStruts 1のサポートを継続して行うという。

 具体的には、NTTデータならびに同社グループ会社と保守・維持契約を結んでおり、かつTERASOLUNA Server Framework for Javaを利用しているシステムについては、パッチ適用とそれに付随する各種確認作業を、4月28日から順次実施していく。また、保守・維持契約を結んでいるが、TERASOLUNA Server Framework for Javaではなく、単独でApache Struts 1を利用しているシステムについては、契約に基づき個別対応を行うという。

 NTTデータはまた、Sourceforge上で無償版TERASOLUNA Server Framework for Javaも公開してきたが、Struts 1の脆弱性判明を受けてダウンロードを一時中止。準備が整い次第、脆弱性に対応したバージョンおよび対策パッチを公開する予定という。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。