NTTデータ先端技術、Struts 2の脆弱性検証レポートを公開：アプリケーションサーバの権限見直しも推奨

[高橋睦美，＠IT]

　NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。

　Apache Struts 2の脆弱性（S2-016）が明らかになったのは7月16日のこと。2.0.0から2.3.15までのバージョンには、DefaultActionMapperにおいてprefixパラメータを処理する際、値をOGNL式として評価するため、任意のJavaコードが実行できてしまう脆弱性が存在する（関連記事）。

　NTTデータ先端技術では、Debian 6.0.7上のApache Tomcat 7.0.42、Apache Struts 2.3.15を利用したWebアプリケーション環境を用意し、細工したHTTPリクエストを送信して脆弱性について検証した。この結果、ターゲットシステムに外部サーバから制御用プログラムをダウンロードさせ、それを介してシステムの制御権限を奪い、リモートから操作できることが検証できたという。

NTTデータ先端技術による検証のイメージ（同社レポートより）

　これを踏まえて同社は、脆弱性を修正したバージョン2.3.15.1以降にアップデートすることを推奨している。

　なお同社によると、一般ユーザー権限ではなく管理者権限でアプリケーションサーバを動作させているシステムが見受けられるという。この場合、攻撃を受けてシステム権限を奪われた際の影響範囲が大きい。被害を最小限に抑えるために、アプリケーションサーバは運用上必要かつ適切な権限（＝一般ユーザー権限）で動作させることも推奨している。