Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性存在する「Apache Struts」が多数稼働、CVE未割当の脆弱性も - NRIセキュアが注意喚起

オープンソースのウェブアプリケーションフレームワーク「Apache Struts」の旧バージョンに脆弱性が存在しているが、認知や対応が進んでいないとしてNRIセキュアテクノロジーズがアップデートを呼びかけている。

同社によれば、「同2.2.3.0」および以前のバージョンには、すでに公表されている「CVE-2010-1870」にくわえ、CVE番号が割り当てられていない別の脆弱性も存在しているが、適切に対応していないシステムが多数稼働しているという。

CVE番号の割り当てがない脆弱性は、数値型フィールドの処理における不具合で、9月に明らかになった。深刻度は「重要」。

悪用されると、不正プログラムの設置や実行のほか、サービス拒否、セッションの書き換えによるなりすましといった被害を受ける可能性がある。

「同2.2.3.1」へアップデートすることにより脆弱性を解消することが可能。同社は最新版へのアップデートや、ウェブアプリケーションファイアウォール(WAF)による対応を呼びかけている。

(Security NEXT - 2011/12/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

ログ解析ツール「Splunk Enterprise」に複数脆弱性
「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新
MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処
「GitLab」にセキュリティアップデート - 脆弱性2件を修正
Cisco、セキュリティアドバイザリ17件を公開
ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を
「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起
WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
エレコム製無線LANルータ2機種に複数の脆弱性
エレコム製の複数無線LANルータに3件の脆弱性