情報処理推進機構セキュリティセンターは、「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、脆弱性を修正したバージョン2.3.16.1への早急なアップデートを呼び掛けている。
情報処理推進機構(IPA)セキュリティセンターは2014年4月17日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、緊急対策を呼び掛けた。脆弱性を修正したバージョン2.3.16.1への早急なアップデートを推奨している。
Apache Struts 2のバージョン2.3.16以前には、外部からクラスローダーを操作されてしまう脆弱性が存在している。これが悪用されれば、Webサーバー内の情報を盗み取られたり、特定ファイルを操作されたり、Webアプリケーションを一時的に使用できない状態に陥らされる恐れがある。さらに、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される恐れもあるという。
これを踏まえて開発元のApache Software Foundationは2014年3月2日、問題を修正したバージョン2.3.16.1をリリースした。
一方で4月上旬、この脆弱性を悪用する検証コードが公開されている。IPAがこのコードを検証した結果、Webアプリケーションの動作権限内で情報を盗み見られたり、特定ファイルを操作されたりすることを確認した。IPAでは、「悪用される可能性が高い」とし、早急な対策を呼び掛けている。
対策は前述の通り、脆弱性を修正したApache Struts 2.3.16.1にバージョンアップすること。それが困難な場合は、せめてWebアプリケーションが最小限の権限で動作していることを確認すべきだ。
なおApache Struts 2に関しては、2013年7月にも、リモートから任意のJavaコードが実行されてしまうという深刻な脆弱性が発見され、多数の攻撃が発生。国内でも、外部からの不正侵入につながる被害が報告された。
Copyright © ITmedia, Inc. All Rights Reserved.