NTTデータ、「TERASOLUNA」向けにApache Struts 1の独自パッチを提供:無償版向けパッチは準備中
NTTデータは2014年4月28日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 1」について、独自に対策パッチを開発し、「TERASOLUNA Server Framework for Java」を利用しているシステムに対し、順次適用作業を実施していくことを明らかにした。
NTTデータは2014年4月28日、脆弱(ぜいじゃく)性の存在が指摘されていたオープンソースのWebアプリケーションフレームワーク「Apache Struts 1」について、独自に対策パッチを開発したことを明らかにした。同社およびNTTデータグループ会社と保守・維持契約を締結しており、「TERASOLUNA Server Framework for Java」を利用しているシステムに対し、順次適用作業を実施していくという。
TERASOLUNA Server Framework for Javaは、NTTデータが2007年にオープンソースとして公開した開発フレームワークだ。プレゼンテーション層にApache Struts 1を利用し、業務ロジック周りの処理基盤なども提供する。
一方、Apache Struts 2には、外部からクラスローダーを操作されてしまう脆弱性が存在することが指摘されていた。さらに2014年4月24日には、既にサポートの終了しているApache Struts 1にもこれと同種の脆弱性が存在していることも、セキュリティ企業によって指摘された。悪用されれば、Webサーバー内の情報を盗み取られたり、Webアプリケーションを一時的に使用できない状態にされる恐れがある他、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性がある(関連記事)。
Strutsの開発元であるApache Software Foundationは、Struts 2に関し、脆弱性を修正したバージョン2.3.16.2を公開した。一方Struts 1についてはサポートが終了しており、対策パッチの提供は予定されていない。
このため、国税庁の「e-Taxソフト(WEB版)」「確定申告書等作成コーナー」「NISA(日本版ISA)コーナー」という3サービスや、情報処理推進機構の「ITパスポート試験」(iパス)システムなどが、一時サービスを停止し、脆弱性対応を行っていた(関連記事)。
NTTデータではサポート終了という背景に加え、「Apache Struts 2がStruts 1と根本的に構造が異なり、アップデートが容易ではないため、多くのシステムがStruts 1を利用して動作している」ことから、TERASOLUNA Server Framework for Javaを使用しているシステムを対象に、独自にStruts 1のサポートを継続して行うという。
具体的には、NTTデータならびに同社グループ会社と保守・維持契約を結んでおり、かつTERASOLUNA Server Framework for Javaを利用しているシステムについては、パッチ適用とそれに付随する各種確認作業を、4月28日から順次実施していく。また、保守・維持契約を結んでいるが、TERASOLUNA Server Framework for Javaではなく、単独でApache Struts 1を利用しているシステムについては、契約に基づき個別対応を行うという。
NTTデータはまた、Sourceforge上で無償版TERASOLUNA Server Framework for Javaも公開してきたが、Struts 1の脆弱性判明を受けてダウンロードを一時中止。準備が整い次第、脆弱性に対応したバージョンおよび対策パッチを公開する予定という。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在
脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。 - 存在に気付かないふり? Struts
多くのサイトで使われるようになったApache Struts。Strutsは関係ないや、と思っているあなたのサイトにも、Apache Strutsが複数インストールされているかもしれません。 - アプリケーションサーバの脆弱性にご注意を
- オープンソースTERASOLUNAで作るWebアプリ