Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NTTデ、脆弱性解消した「Apache Struts 1.2.9 with SP2」 - 公式サポート終了後も独自対応

NTTデータが提供するウェブアプリケーション用フレームワーク「TERASOLUNA Server Framework for Java(Web)」に脆弱性「CVE-2015-0899」が判明した。依存している「Apache Struts 1」にあらたな脆弱性が見つかったもので、同社は独自に修正を行っている。

脆弱性情報のポータルサイトであるJVNによれば、同製品はミドルウェア「Apache Struts 1.2.9」を利用しており、同ソフトで判明した入力チェックが不正にスキップされてしまう「Validator」の脆弱性が明らかとなったもの。「TERASOLUNA Server Framework for Java(Web) 2.0.0.1」から「同2.0.5.2」までが影響を受ける。

同社では独自に「TERASOLUNA フレームワーク」向けに「Apache Struts 1.2.9 sp2」を用意。Apache License 2.0で公開するとともに、同バージョンを含む「TERASOLUNA Server Framework for Java(Web) 2.0.5.3」を提供開始した。

「Apache Struts 1」はすでにサポートが終了している。2014年4月に「ClassLoader」の脆弱性「CVE-2014-0114」が表面化したが、その際も同社では修正を行った「Apache Struts 1.2.9 sp1」を公開していた。

(Security NEXT - 2015/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Struts」のアップロード機能に深刻な脆弱性 - リモートよりコード実行のおそれ
「Struts 2」脆弱性、公開2日後には攻撃発生 - 攻撃者は1週間前から別の攻撃も展開
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも
脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
IoTボット、感染対象を「Apache Struts 2」やセキュリティ製品にも拡大
CiscoやOracle、「Struts 2」脆弱性の影響受ける製品をアナウンス
対「Struts 2」の脆弱性攻撃が発生、目的はマイニング - さらなる悪用増加に要警戒
「Apache Struts 2」脆弱性に実証コード - 地下フォーラムでも不穏な動き
「Apache ActiveMQ」に複数の脆弱性 - アップデートがリリース