Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起(9/7追記）

IPA（情報処理推進機構）より、Apache Struts2の脆弱性が公表されました。
この脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される恐れがあります。
今後の被害防止のために、以下のサイトを参照し、対策を検討することをお勧めします。

１．脆弱性を有するソフトウエア

– Apache Struts 2
– – Apache Struts 2  2.1.2 から 2.3.33 までのバージョン、および 2.5 から 2.5.12 までのバージョン

２．対策
Apache Software Foundation からは、本脆弱性について修正したバージョンのApache Struts 2 が公開されています。

– Apache Struts 2
– 2.5 系列    2.5.13

なお、Apache Software Foundation によると、上記のバージョンには、
次の脆弱性の修正も含まれるとのことです。

– S2-050 (深刻度「Low」)
– 2.3 系列    2.3.7 から 2.3.33 までのバージョン
– 2.5 系列    2.5.13 より前のバージョン

– S2-051 (深刻度「Medium」)
– 2.3 系列    2.3.7 から 2.3.33 までのバージョン
– 2.5 系列    2.5.13 より前のバージョン

** 2017年 9月 7日追記*******************************************

2017年9月7日、Apache Software Foundation は、本脆弱性について修正した
バージョン Apache Struts 2.3.34 を公開しました。2.3 系列を使用している
場合には、修正済みのバージョンに更新することをご検討ください。

詳細は、Apache Software Foundation からの更新情報を参照してください。

Apache Struts 2 Documentation
Version Notes 2.3.34
https://struts.apache.org/docs/version-notes-2334.html

*****************************************************************

3．関連サイト
詳細は、以下の情報を参照してください。

Apache Struts 2 Documentation
S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://struts.apache.org/docs/s2-052.html

Apache Struts 2 Documentation
REST Plugin
https://struts.apache.org/docs/rest-plugin.html

Apache Struts 2 Documentation
S2-050 : A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)
https://struts.apache.org/docs/s2-050.html

Apache Struts 2 Documentation
S2-051 : A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin
https://struts.apache.org/docs/s2-051.html

JVNVU#92761484
Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
https://jvn.jp/vu/JVNVU92761484/

【本件問い合わせ先】
情報推進部　情報企画課　情報企画班　TEL：06-6879-4482(吹 4482,8989)