NTTデータ先端技術、Struts 2の脆弱性検証レポートを公開アプリケーションサーバの権限見直しも推奨

NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。

» 2013年07月25日 16時54分 公開
[高橋睦美,@IT]

 NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。

 Apache Struts 2の脆弱性(S2-016)が明らかになったのは7月16日のこと。2.0.0から2.3.15までのバージョンには、DefaultActionMapperにおいてprefixパラメータを処理する際、値をOGNL式として評価するため、任意のJavaコードが実行できてしまう脆弱性が存在する(関連記事)。

 NTTデータ先端技術では、Debian 6.0.7上のApache Tomcat 7.0.42、Apache Struts 2.3.15を利用したWebアプリケーション環境を用意し、細工したHTTPリクエストを送信して脆弱性について検証した。この結果、ターゲットシステムに外部サーバから制御用プログラムをダウンロードさせ、それを介してシステムの制御権限を奪い、リモートから操作できることが検証できたという。

NTTデータ先端技術による検証のイメージ(同社レポートより)

 これを踏まえて同社は、脆弱性を修正したバージョン2.3.15.1以降にアップデートすることを推奨している。

 なお同社によると、一般ユーザー権限ではなく管理者権限でアプリケーションサーバを動作させているシステムが見受けられるという。この場合、攻撃を受けてシステム権限を奪われた際の影響範囲が大きい。被害を最小限に抑えるために、アプリケーションサーバは運用上必要かつ適切な権限(=一般ユーザー権限)で動作させることも推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。