ニュース
NTTデータ先端技術、Struts 2の脆弱性検証レポートを公開:アプリケーションサーバの権限見直しも推奨
NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。
NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。
Apache Struts 2の脆弱性(S2-016)が明らかになったのは7月16日のこと。2.0.0から2.3.15までのバージョンには、DefaultActionMapperにおいてprefixパラメータを処理する際、値をOGNL式として評価するため、任意のJavaコードが実行できてしまう脆弱性が存在する(関連記事)。
NTTデータ先端技術では、Debian 6.0.7上のApache Tomcat 7.0.42、Apache Struts 2.3.15を利用したWebアプリケーション環境を用意し、細工したHTTPリクエストを送信して脆弱性について検証した。この結果、ターゲットシステムに外部サーバから制御用プログラムをダウンロードさせ、それを介してシステムの制御権限を奪い、リモートから操作できることが検証できたという。
関連記事
- Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測
Apache Software Foundationは米国時間の2013年7月16日、深刻な脆弱性を修正するアップデート「Struts 2.3.15.1」を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.