Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NTTデ、脆弱性解消した「Apache Struts 1.2.9 with SP2」 - 公式サポート終了後も独自対応

NTTデータが提供するウェブアプリケーション用フレームワーク「TERASOLUNA Server Framework for Java(Web)」に脆弱性「CVE-2015-0899」が判明した。依存している「Apache Struts 1」にあらたな脆弱性が見つかったもので、同社は独自に修正を行っている。

脆弱性情報のポータルサイトであるJVNによれば、同製品はミドルウェア「Apache Struts 1.2.9」を利用しており、同ソフトで判明した入力チェックが不正にスキップされてしまう「Validator」の脆弱性が明らかとなったもの。「TERASOLUNA Server Framework for Java(Web) 2.0.0.1」から「同2.0.5.2」までが影響を受ける。

同社では独自に「TERASOLUNA フレームワーク」向けに「Apache Struts 1.2.9 sp2」を用意。Apache License 2.0で公開するとともに、同バージョンを含む「TERASOLUNA Server Framework for Java(Web) 2.0.5.3」を提供開始した。

「Apache Struts 1」はすでにサポートが終了している。2014年4月に「ClassLoader」の脆弱性「CVE-2014-0114」が表面化したが、その際も同社では修正を行った「Apache Struts 1.2.9 sp1」を公開していた。

(Security NEXT - 2015/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「SQLインジェクション」を多数観測 - CMSのDB狙う攻撃も
約6年前のWPプラグイン脆弱性を狙う攻撃が11月に急増 - 攻撃元IPアドレスは3000件超
脆弱ライブラリ同梱した「Apache Struts」、「Webex」などCisco製品にも影響
「Apache Struts」のアップロード機能に深刻な脆弱性 - リモートよりコード実行のおそれ
「Apache Struts 2.3」系、2019年5月にサポート終了 - 移行の検討を
「Struts 2」脆弱性、公開2日後には攻撃発生 - 攻撃者は1週間前から別の攻撃も展開
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも
脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
IoTボット、感染対象を「Apache Struts 2」やセキュリティ製品にも拡大