「サマータイム」はセキュリティホールなのか？：セキュリティクラスタ まとめのまとめ 2018年8月版（3/3 ページ）

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

Struts 2の新たな脆弱性「S2-057」が公表

　お盆休みも終わり、そろそろ仕事に復帰した方も多くなった8月22日、この数年で攻撃大賞としてすっかりおなじみになったApache Struts 2（Struts 2）の新たな脆弱性「S2-057」が公開されました。

　「S2-057」は外部から誰でもサーバのコマンドを実行できる脆弱性で、これまでに公開されていた脆弱性と似たようなOGNL（Object Graph Navigation Language）を使った攻撃方法でした。しかもその日のうちに詳細な攻撃の手法が公開されたため、タイムライン（TL）でも大騒ぎになりました。

　TLでも大勢がPoC（概念実証）を試していました。当初は攻撃のURLによって数値の計算をさせることはできるものの、コード実行に成功した報告が見当たらず、デマなのかという疑問がTLに流れます。実はデモではStruts 2.3.20など古いバージョンのStruts 2に対して攻撃を試みており、最新バージョンを攻撃するには、そのままでは無理だということが分かりました。

　しかし、数日後にはPoCが更新されて、更新前の新しいバージョンに関して攻撃に成功したというツイートも現れ、既にStruts 2を狙う実際の攻撃も増えているようです。Struts 2を使ったWebサイトを構築している方は最新バージョンに更新した方がよさそうです。

　Struts 2の脆弱性は実行できる条件が限られているため、より広範囲に影響があるGhostScriptの脆弱性に注目してほしいというツイートもありました。

---

　この他にも8月のセキュリティクラスタは次のような話題で盛り上がっていました。9月はどのようなことが起きるのでしょうね。

• セキュリティ・キャンプ全国大会2018、開催される
• NTT、海賊版サイトの遮断を見送り
• デンソーウェーブとアララの「公式QRコードリーダー"Q"」が読み取り時のユーザーの位置情報をQRコード作成者に提供、事前の説明なし
• 実は「セキュリティ人材」必要なかった!?　日経産業新聞が報じる
• 前橋市の学校向けネットワークへの不正アクセス、運営委託先のNTT東日本に市が約1億6500万請求する

著者プロフィール

山本洋介山（NTTコミュニケーションズ株式会社）

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。