Apache Struts 2の早急なアップデートを、攻撃コード公開を踏まえIPAが呼び掛けリモートからの情報窃取やファイル操作の恐れ

情報処理推進機構セキュリティセンターは、「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、脆弱性を修正したバージョン2.3.16.1への早急なアップデートを呼び掛けている。

» 2014年04月17日 20時14分 公開
[高橋睦美@IT]

 情報処理推進機構(IPA)セキュリティセンターは2014年4月17日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、緊急対策を呼び掛けた。脆弱性を修正したバージョン2.3.16.1への早急なアップデートを推奨している。

 Apache Struts 2のバージョン2.3.16以前には、外部からクラスローダーを操作されてしまう脆弱性が存在している。これが悪用されれば、Webサーバー内の情報を盗み取られたり、特定ファイルを操作されたり、Webアプリケーションを一時的に使用できない状態に陥らされる恐れがある。さらに、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される恐れもあるという。

 これを踏まえて開発元のApache Software Foundationは2014年3月2日、問題を修正したバージョン2.3.16.1をリリースした。

 一方で4月上旬、この脆弱性を悪用する検証コードが公開されている。IPAがこのコードを検証した結果、Webアプリケーションの動作権限内で情報を盗み見られたり、特定ファイルを操作されたりすることを確認した。IPAでは、「悪用される可能性が高い」とし、早急な対策を呼び掛けている。

脆弱性を悪用した攻撃のイメージ(IPAの注意喚起文書より)

 対策は前述の通り、脆弱性を修正したApache Struts 2.3.16.1にバージョンアップすること。それが困難な場合は、せめてWebアプリケーションが最小限の権限で動作していることを確認すべきだ。

 なおApache Struts 2に関しては、2013年7月にも、リモートから任意のJavaコードが実行されてしまうという深刻な脆弱性が発見され、多数の攻撃が発生。国内でも、外部からの不正侵入につながる被害が報告された

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。