Apache Struts2 の脆弱性が発見された - Java
Apache Struts2 の脆弱性が発見されました。
Apache Struts 2 とは、Java のウェブアプリケーションを開発するためのフレームワークです。
今回、このフレームワークに脆弱性が発見されました。Struts 2 がリリースされたのが 2007 年 2 月 ですので、約 6 年後に発見された事になります。
問題の脆弱性は、入力文字列の処理にあり、任意の Java メソッドが実行可能となることです。
これにより、遠隔の第三者によって、サーバ上で任意の Java メソッドが実行され、情報漏えいにつながる可能性があります。また、サービス運用の妨害 (DoS) 攻撃を受けたり、任意の OS コマンドが実行される可能性もあります。
影響を受けるバージョン
Apache Struts 2.0.0 ~ 2.3.15
対策
2.3.15.1 へのアップデート
Apache Struts Releases
http://struts.apache.org/downloads.html
参考サイト
まとめ
Apache Struts2 の脆弱性について紹介しました。
とはいえ、実務の中では、動作検証もせずアップデートすることはできませんよね。検証に時間がかかればかかるほど危険が増していくので、このフレームワークを利用している場合、常に最新の情報を入手してください。
おつかれさまでした。