Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度

「Spring Framework」に深刻な脆弱性が見つかった問題で、容易に攻撃が可能であり、セキュリティベンダーでは警戒を強めている。影響の範囲や大きさを踏まえると、2017年に大きな影響をもたらした「Apache Struts」の脆弱性を想起させるものだといい、今後悪用が急激に広がる可能性もある。

今回の脆弱性は、メッセージングプロトコル「STOMP(Streaming Text Oriented Messaging Protocol)」の処理に起因する脆弱性。WebSocket上で同プロトコルを利用し、細工されたメッセージを処理すると、不正なOSコマンドが実行されるおそれがある。

脆弱性の実証コードについて検証を行ったNTTデータ先端技術によれば、「Spring Framework」では、メッセージング機能の実装に同プロトコルを使用。

メッセージング機能を利用するウェブアプリケーションでは、フォームより攻撃コードを挿入して送信するだけで、容易に悪用することが可能であると脆弱性の危険性を指摘している。

20180411_ns_001.jpg
脆弱性を悪用した例(図:NTTデータ先技)

(Security NEXT - 2018/04/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Spring Data Commons」に深刻な脆弱性 - REST処理などでコード実行のおそれ
「Spring Framework」の深刻な脆弱性、すでに実証コードも
「Spring Framework」に複数の脆弱性、アップデートがリリース - 「同4.3.x」は再修正も
「Spring Security」「Spring Framework」に脆弱性 - 認証回避のおそれ
Apple、「iOS 10.2」をリリース - 12件の脆弱性を修正
「Apache Commons FileUpload」に脆弱性 - 「Tomcat」「Struts 2」など広く影響
Apple、「iOS 8.2」を公開 - 「FREAK」に対応