NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。
NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。
Apache Struts 2の脆弱性(S2-016)が明らかになったのは7月16日のこと。2.0.0から2.3.15までのバージョンには、DefaultActionMapperにおいてprefixパラメータを処理する際、値をOGNL式として評価するため、任意のJavaコードが実行できてしまう脆弱性が存在する(関連記事)。
NTTデータ先端技術では、Debian 6.0.7上のApache Tomcat 7.0.42、Apache Struts 2.3.15を利用したWebアプリケーション環境を用意し、細工したHTTPリクエストを送信して脆弱性について検証した。この結果、ターゲットシステムに外部サーバから制御用プログラムをダウンロードさせ、それを介してシステムの制御権限を奪い、リモートから操作できることが検証できたという。
これを踏まえて同社は、脆弱性を修正したバージョン2.3.15.1以降にアップデートすることを推奨している。
なお同社によると、一般ユーザー権限ではなく管理者権限でアプリケーションサーバを動作させているシステムが見受けられるという。この場合、攻撃を受けてシステム権限を奪われた際の影響範囲が大きい。被害を最小限に抑えるために、アプリケーションサーバは運用上必要かつ適切な権限(=一般ユーザー権限)で動作させることも推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.