Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃受けるおそれ

「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃を受けるおそれがあることがわかった。最新版で修正されており、開発チームはアップデートを呼びかけている。

20180328_as_001.jpg
開発チームでは「S2-056」としてアナウンスし、注意喚起を行っている

「Apache Struts 2」に含まれるRESTプラグインの「XStreamライブラリ」に、脆弱性「CVE-2018-1327」が存在することが明らかとなったもの。

細工されたXMLリクエストを読み込むと、サービス拒否が発生するおそれがある。重要度は「中(Medium)」とレーティングされている。

開発チームでは、3月16日にリリース済みのGeneral Availability版である「同2.5.16」にて対応したとしており、同版に同梱される「Jackson XMLハンドラ」へ切り替えるよう呼びかけている。アップデートできない場合の回避策としても、「XStreamハンドラ」のかわりに「Jackson XMLハンドラ」を利用するようアナウンスしている。

また脆弱性の判明を受けて、注意喚起を行ったJPCERTコーディネーションセンターによれば、今回明らかとなった脆弱性を悪用する攻撃は発生していないという。

(Security NEXT - 2018/03/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

NEC製の一部ルータにroot権限でコマンド実行されるおそれ
VMwareの「vRealize Operations for Horizon Adapter」に深刻な脆弱性
ABBの発電所向け資産管理製品に脆弱性
WPプラグイン「Easy Property Listings」にCSRF脆弱性
「Adobe Framemaker」に深刻な脆弱性 - 適用優先度は低設定
三菱電機の一部制御システム製品に「URGENT/11」の脆弱性
Lenovo製インフラ管理ソフトに情報漏洩のおそれ
ウェブアプリフレームワーク「Django」に深刻な脆弱性
「Apache Dubbo」にRCE脆弱性 - 2019年12月の更新で修正済み
ネットワークカメラ向けアプリに認証不備の脆弱性