Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「S2Struts」にApache Struts1の脆弱性 - 修正版が公開

Seasarファウンデーションが提供するウェブアプリケーションフレームワーク「S2Struts」に、リモートから攻撃が可能となる脆弱性が含まれていることがわかった。

今回明らかとなった「CVE-2014-3893」は、ClassLoaderが操作可能となる脆弱性。悪用されると、遠隔からコードを実行されたり、情報漏洩が発生するおそれがある。

同ソフトでは、「CVE-2014-0114」が存在するApache Strutsを使用していたため、「同1.3.1」「同1.2.12」および以前のバージョンについても影響を受ける。

問題の脆弱性は、もともとApache Struts 2で判明。さらにサポートが終了している「Apache Struts 1.x」にも脆弱性が含まれるとして「CVE-2014-0114」が割り当てられていた。

今回の脆弱性は、サイボウズが情報処理推進機構(IPA)へ報告。修正にあたりJPCERTコーディネーションセンターが調整。Seasarファウンデーションでは、脆弱性を解消した「同1.3.2」「同1.2.13」を公開している。

(Security NEXT - 2014/07/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、月例パッチで50件の脆弱性を修正 - 一部公開済みの脆弱性も
「Adobe Acrobat/Reader」にセキュリティ更新 - 脆弱性41件を修正
「Adobe Experience Manager」にセキュリティアップデート
Adobe、「Acrobat/Reader」のセキュリティアップデートを2月13日に公開予定
VMware製仮想アプライアンス6製品、「Meltdown」「Spectre」が影響
Intel、脆弱性「Spectre」を軽減する「Skylake」向けマイクロコードをリリース
「WordPress」にDoS攻撃を受けるおそれ、研究者が指摘
「Spring Security」「Spring Framework」に脆弱性 - 認証回避のおそれ
Flashゼロデイ脆弱性に北朝鮮関与 - 11月中旬より悪用
Cisco、セキュリティ製品向けに再度修正パッチ - あらたな攻撃手法が判明、対応不十分で