Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【修正】「Apache Struts 2.3.16.2」が公開 - 対応不十分だった深刻な脆弱性に対応

ウェブアプリケーションのフレームワーク「Apache Struts 2」に深刻な脆弱性が見つかった問題で、同ソフトを提供するApache Software Foundationは、修正版となる「同2.3.16.2」をリリースした。

Apache Struts
「Apache Struts 2.3.16.2」が公開

同セキュリティアップデートでは、前バージョンで修正が不完全だった脆弱性「CVE-2014-0112」や、「CookieInterceptor」により不正に操作されるおそれがある脆弱性「CVE-2014-0113」など、「ClassLoader」に関する2件の脆弱性に対応した。

当初、リモートのブラウザから攻撃対象となるサーバの制御を奪うことが可能となる脆弱性「CVE-2014-0094」に対し、修正版として「同2.3.16.1」が公開されていたが、対応が不十分で、引き続き攻撃を受けるおそれがあるとして、セキュリティ機関やセキュリティベンダーが注意を呼びかけていた。

今回アップデートを公開したASFでは、すべてのデベロッパーに対してアップデートを実施するよう強く推奨している。

(Security NEXT - 2014/04/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Struts 2」関連のインシデント検知が増加 - ラック
「Apache Struts 2」にリモートより攻撃可能な脆弱性 - 「Struts 1 Plugin」利用時に影響
国交省関連サイトへの不正アクセス - 流出被害は未確認
不正アクセス被害の住宅金融支援機構関連サイト、約3カ月ぶりに再開
国交省関連サイトから情報流出の可能性 - 「Struts 2」脆弱性突かれ不正プログラム設置
「Struts 2」脆弱性狙うアクセスが継続中 - 当初の暫定対策だけでは危険
「B.LEAGUE」関連サイトへの不正アクセス、クレカ不正利用が2倍弱に
GMO-PGが情報流出で調査報告 - 「脱Struts宣言」するも再構築まで至らず
GMO-PG、役員3名を減俸処分 - 「不正アクセスはセキュリティマネジメント体制に起因」
Cisco、「Apache Struts 2」脆弱性の影響受ける製品リストを更新