Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NTTデ、脆弱性解消した「Apache Struts 1.2.9 with SP2」 - 公式サポート終了後も独自対応

NTTデータが提供するウェブアプリケーション用フレームワーク「TERASOLUNA Server Framework for Java(Web)」に脆弱性「CVE-2015-0899」が判明した。依存している「Apache Struts 1」にあらたな脆弱性が見つかったもので、同社は独自に修正を行っている。

脆弱性情報のポータルサイトであるJVNによれば、同製品はミドルウェア「Apache Struts 1.2.9」を利用しており、同ソフトで判明した入力チェックが不正にスキップされてしまう「Validator」の脆弱性が明らかとなったもの。「TERASOLUNA Server Framework for Java(Web) 2.0.0.1」から「同2.0.5.2」までが影響を受ける。

同社では独自に「TERASOLUNA フレームワーク」向けに「Apache Struts 1.2.9 sp2」を用意。Apache License 2.0で公開するとともに、同バージョンを含む「TERASOLUNA Server Framework for Java(Web) 2.0.5.3」を提供開始した。

「Apache Struts 1」はすでにサポートが終了している。2014年4月に「ClassLoader」の脆弱性「CVE-2014-0114」が表面化したが、その際も同社では修正を行った「Apache Struts 1.2.9 sp1」を公開していた。

(Security NEXT - 2015/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度
「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃受けるおそれ
「Apache Struts 2」の「RESTプラグイン」に脆弱性 - DoS攻撃受けるおそれ
目立つ「HeartBleed」関連インシデント - ラック報告
「Struts 2」に対する脆弱性攻撃が発生 - 3月の攻撃と類似点も
深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も
「Apache Struts 2」の公開済み脆弱性、ラックでは攻撃未確認
「Apache Struts 2.5.13」がリリース - 深刻な脆弱性など修正
「Apache Struts 2」の脆弱性、悪用コードが公開済み - 関連機関が注意喚起
「Apache Struts 2」関連のインシデント検知が増加 - ラック