Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Struts 2」に深刻な脆弱性、すでに攻撃も - 早急に対策を

ウェブアプリケーションのフレームワークである「Apache Struts 2」に、リモートよりコードが実行可能となる深刻な脆弱性「CVE-2017-5638」が含まれていることがわかった。

20170308_ip_001.jpg
脆弱性の概要(図:IPA)

ファイルのアップロード処理に「Jakartaマルチパートパーサー」を用いている場合、「Content-Type」の処理に脆弱性「CVE-2017-5638」が存在。リモートより任意のコードが実行されるおそれがある。

情報処理推進機構(IPA)によれば、攻撃コードや、同脆弱性が悪用されたとみられるケースが確認されており、すでに被害も発生しているという。

またNTTセキュリティ・ジャパンでは、特定のIPアドレスから多数組織に対して脆弱性に対する攻撃が展開されていると報告。脆弱性を悪用することで容易にサーバへ侵入が可能であるとして警鐘を鳴らしている。

Apache Software Foundationでは、脆弱性へ対処した「同2.3.32」「同2.5.10.1」をリリース。また「Jakartaマルチパートパーサー」以外のマルチパートパーサーを実装することで脆弱性の悪用を回避できるとしている。

(Security NEXT - 2017/03/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WordPress 5.1.1」がリリース - XSSの脆弱性など修正
サイトの脆弱性を診断する月額制クラウドサービス - セキュアブレイン
「Adobe Digital Editions」に深刻な脆弱性 - コード実行のおそれ
「Chrome 73」がリリース - セキュリティ関連の修正は60件
「Adobe Flash Player」にアップデート - セキュリティ修正は含まず
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Adobe Photoshop CC」に深刻な脆弱性 - アップデートがリリース
iOS向け保険管理アプリに脆弱性 - 「Cordova」向け旧プラグインに起因
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「OpenSSL」の「ChaCha20-Poly1305」実装に脆弱性