編集部からのお知らせ
RPA導入、もう1つのポイント
「ニューノーマルとIT」新着記事一覧

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2018-08-23 11:40

 Apache Software Foundationは米国時間8月22日、「Apache Struts 2」の全バージョンに影響を及ぼす、重要なセキュリティ脆弱性に対処するパッチを公開した。

 この脆弱性は、サイバーセキュリティ企業Semmleの研究者らが発見した。Strutsフレームワークのコアにおける、信頼できないユーザーデータの検証が不十分なために発生する。

 この脆弱性(CVE-2018-11776)はStrutsのコアで発見されたため、この脆弱性を悪用できる攻撃ベクトルは複数あるという。

 具体的には、alwaysSelectFullNamespaceフラグがStruts設定で「true」に設定されており、さらにユーザーのStruts設定ファイルなどでオプションのnamespace属性が指定されていないタグが含まれていたり、ワイルドカードnamespaceを指定していたりすると、脆弱性の影響を受ける。

 脆弱性を最初に報告した、Semmleのセキュリティ研究チームのMan Yue Mo氏は、次のように述べている。「この脆弱性は、Strutsで一般的に使用され、露出されている可能性が高いエンドポイントに影響するため、悪意のあるハッカーの攻撃ベクトルになり得る。さらに脆弱性は、StrutsのOGNLに関連しているが、ハッカーらはOGNLに精通しており、過去に悪用されたことがある」

 この人気の高いオープンソースフレームワークを利用している企業は、直ちにビルドをアップデートする必要がある。「Struts 2.3」のユーザーは「Struts 2.3.35」に、「Struts 2.5」のユーザーは「Struts 2.5.17」にアップグレードすべきだ。

 Apacheによると、これらの最新リリースは脆弱性に対する修正だけを施したバージョンとなるため、後方互換性に関する問題はないはずだという。

 Mo氏はこの脆弱性について4月に発表した。Apache Strutsのチームは、今回の正式パッチのリリースに先立ち、6月に修正コードを公開している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュアなテレワークでビジネスを継続する「緊急時対応チェックリスト」

  2. クラウドコンピューティング

    ゼロトラストネットワークアクセス(ZTNA)を今すぐ採用すべき理由

  3. ビジネスアプリケーション

    今からでも遅くない、在宅勤務への本格移行を可能にする環境整備のポイント

  4. クラウド基盤

    アプリ開発者とIT管理者、両者のニーズを両立させるプラットフォームとは?

  5. ビジネスアプリケーション

    テレワークに立ちはだかる「紙・ハンコ」の壁を経費精算のペーパーレス化からはじめて乗り越える

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]