【情報提供】Apache Strutsの脆弱性について

先日より注意喚起を行っておりましたApache Strutsの脆弱性に関する追加情報がありますので、情報提供いたします。現在リリースされているStrutsには以下の問題点が存在します。

●問題点1
最新版のStruts2において、脆弱性の修正が不十分であり、これを悪用される危険性が残存します。公式なアップデートは現時点ではリリースされておらず、設定変更等で対応する必要があります。
●問題点2
Strutsのバージョン2だけではなく、バージョン1にも影響します。既にStruts1はサポートが終了しており、公式のバージョンアップが行われません。各自の環境において設定変更等で対応する必要があります。

いずれの問題点においても、開発元からの公式情報は発表されておりません。設定変更における影響を考慮しつつ、以下の参考URLを参考に対応をご検討ください。

■参考URL
●CVE-2014-0094、S2-020の脆弱性に関する情報
http://struts.apache.org/release/2.3.x/docs/s2-020.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
●問題点1について
http://www.mbsd.jp/news20140422.html
http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html
●問題点2について
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

【本件問い合わせ先】
情報推進部 情報企画課 情報企画班 TEL:06-6879-4482(吹 4482,3070)