編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

「Apache Struts」に重大な脆弱性、広範に影響する恐れも--パッチ適用を

Zack Whittaker (Special to ZDNet.com) 翻訳校正: 編集部

2017-09-06 11:26

 オープンソースのアプリケーションフレームワークである「Apache Struts」に重大な脆弱性が存在することが明らかになった。この脆弱性の影響を受けたサーバは、ハッカーに容易に乗っ取られる可能性がある。

 この脆弱性を発見したセキュリティ研究者によれば、これが悪用されると、Apache StrutsのRESTプラグインを使用しているアプリケーションを実行しているサーバで、リモートから任意のコードを実行できる。

 2008年以降のすべてのバージョンのStrutsに影響がある。

 Apache Strutsは、Javaによるウェブアプリケーションを構築するためのフレームワークで、Fortune 100企業でも幅広く使われており、フロントエンドとバックエンドの両方のアプリケーションで使用されている。lgtmのセキュリティ研究者で、この脆弱性を発見したチームを率いるMan Yue Mo氏によれば、Strutsは公にアクセス可能な多くのウェブアプリケーションで使用されており、これには航空チケットの予約システムやインターネットバンキングシステムなども含まれるという。

 Mo氏は、ウェブブラウザさえあれば、この脆弱性を悪用できると述べている。

 この脆弱性の原因は、Strutsの信用できないデータに対するデシリアライズ化の処理にある。これが悪用されると、サーバがファイアウォールの内側に置かれていても、任意のコードが実行される可能性がある。脆弱性の発見に使用された分析ソフトウェアを作成した企業Semmleの製品マネージャーBas van Schaik氏は、「サーバに顧客データやユーザのデータが保管されていれば、簡単にそのデータを収集し、外部に送信できる」と述べている。またこのサーバが、ネットワークのほかの領域に対する侵入点として利用され、実質的に企業のファイアウォールが迂回されてしまう可能性もあると同氏は述べた。

 修正コードは数週間前に公開されており、Apacheは米国時間9月5日に、この脆弱性を修正する完全なパッチをリリースした

 しかし多くの企業は、システムにパッチが適用されるまでは脆弱性を抱えたままだ。

 Redmonkの業界アナリストFintan Ryan氏は、Fortune 500企業のうち少なくとも65%が、この脆弱性の影響を受ける可能性があると述べている。

 セキュリティ研究者や攻撃者が、脆弱性を悪用することなく、サーバが危険にさらされているかどうかを外部から判断する方法は存在しない。

 「このため、脆弱性を広く一般に公表し、問題の重大性を強調してStrutsコンポーネントのアップグレードを促すしかない」とvan Schaik氏は述べている。

 「そのほかには、影響を受ける企業に情報を知らせる有効な手段はない」(van Schaik氏)

Apache Strutsに重大な脆弱性
提供:Wikimedia Commons; file photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. 経営

    ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説

  3. 経営

    問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備

  4. ビジネスアプリケーション

    緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策

  5. ビジネスアプリケーション

    たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]