Apache Struts2の脆弱性に関する注意喚起

IPA(情報処理推進機構)より、Apache Struts2の脆弱性が公表されました。この脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される恐れがあります。
今後の被害防止のために、以下のサイトを参照し、対策を検討することをお勧めします。

1.脆弱性を有するソフトウエア
– Apache Struts 2
– 2.3 系列
本脆弱性は、Struts アプリケーションを、Struts 1 Plugin を使用して動作させている場合に影響を受ける可能性があります。

2.対策
Apache Software Foundation からは、回避策として入力値を適切に処理することが示されています。

※ showcase 内のサンプル Struts アプリケーションに対する回避策の例
(適用前)
messages.add(“msg”, new ActionMessage(“Gangster ” + gform.getName() + ” added successfully”));
(適用後)
messages.add(“msg”, new ActionMessage(“Gangster “, gform.getName()));

なお、JPCERT/CC では、本回避策の適用後、本脆弱性に対する実証コードの実
行により脆弱性を悪用されないことを確認しています。また、回避策の適用が
難しい場合には、不特定多数からのアクセスを制限することや、WAF (Web
Application Firewall) の利用などの対策を検討してください。

3.関連サイト
詳細は、以下の情報を参照してください。
Apache Struts 2 Documentation
S2-048 : Possible RCE in the Struts Showcase app in the Struts 1 plugin example in Struts 2.3.x series
https://struts.apache.org/docs/s2-048.html

Struts 1 Plugin
https://struts.apache.org/docs/struts-1-plugin.html

【本件問い合わせ先】
情報推進部 情報企画課 情報企画班 TEL:06-6879-4482(吹 4482,8989)