Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NTTデ、脆弱性解消した「Apache Struts 1.2.9 with SP2」 - 公式サポート終了後も独自対応

NTTデータが提供するウェブアプリケーション用フレームワーク「TERASOLUNA Server Framework for Java(Web)」に脆弱性「CVE-2015-0899」が判明した。依存している「Apache Struts 1」にあらたな脆弱性が見つかったもので、同社は独自に修正を行っている。

脆弱性情報のポータルサイトであるJVNによれば、同製品はミドルウェア「Apache Struts 1.2.9」を利用しており、同ソフトで判明した入力チェックが不正にスキップされてしまう「Validator」の脆弱性が明らかとなったもの。「TERASOLUNA Server Framework for Java(Web) 2.0.0.1」から「同2.0.5.2」までが影響を受ける。

同社では独自に「TERASOLUNA フレームワーク」向けに「Apache Struts 1.2.9 sp2」を用意。Apache License 2.0で公開するとともに、同バージョンを含む「TERASOLUNA Server Framework for Java(Web) 2.0.5.3」を提供開始した。

「Apache Struts 1」はすでにサポートが終了している。2014年4月に「ClassLoader」の脆弱性「CVE-2014-0114」が表面化したが、その際も同社では修正を行った「Apache Struts 1.2.9 sp1」を公開していた。

(Security NEXT - 2015/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Struts 2」に脆弱性 - 悪用観測ある既知脆弱性の対処不十分で
「Apache Struts 2」RCE脆弱性に悪用報告 - 早急に対処を
「Apache Struts 2」にRCE脆弱性が判明 - アップデートがリリース
8月公表の「Apache Struts 2」脆弱性、NVD評価は「クリティカル」
「Apache Struts 2」にRCEなど2件の脆弱性 - 最新版へ更新を
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
対「Struts 2」の脆弱性攻撃が発生、目的はマイニング - さらなる悪用増加に要警戒
「SQLインジェクション」を多数観測 - CMSのDB狙う攻撃も
約6年前のWPプラグイン脆弱性を狙う攻撃が11月に急増 - 攻撃元IPアドレスは3000件超
脆弱ライブラリ同梱した「Apache Struts」、「Webex」などCisco製品にも影響