「Apache Struts 2.3.29」にあらたな脆弱性 - 次期版で対応予定
Apache Software Foundationが、6月に公開した「Apache Struts 2.3.29」に、一部脆弱性の修正が不十分であるとの見方が出ていたが、別の脆弱性であることが判明した。次期バージョンで修正される見込みだという。
「同2.3.29」では、実証コードが公開された「RESTプラグイン」の脆弱性「CVE-2016-4438」をはじめ、あわせて7件の脆弱性が修正されたが、「Getterメソッド」における検証回避の脆弱性「CVE-2016-4433」については、同バージョンでも任意のコードが実行可能であり、修正が不十分であるとしてJPCERTコーディネーションセンターによる調整が続けられていた。
問題が指摘されていた「CVE-2016-4433」への対応については、「同2.3.29」で修正が完了しているとし、従来の指摘について開発者は、「CVE-2016-4433」に関連した問題が残っているとの認識を示しているという。
その後「同2.3.29」のアップデートとなる「同2.3.30」がリリースされているが、今回明らかとなった脆弱性に関しては、次期バージョンで修正される予定。
(Security NEXT - 2016/08/25 )
ツイート
関連リンク
PR
関連記事
QNAP、アドバイザリ9件を公開 - 複数脆弱性を修正
アプリ生成「Lovable」に脆弱性 - 生成プロジェクトに影響
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
バックアップストレージ用ソフト「HPE StoreOnce」に複数脆弱性
「Roundcube」脆弱性、詳細やPoCが公開予定 - 早急に対応を
Auth0の複数SDKに脆弱性 - 細工Cookieでコード実行のおそれ
米CISA、「Chromium」脆弱性の悪用に注意喚起 - 派生ブラウザも警戒を
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
「Cisco ISE」クラウド版に深刻な脆弱性 - ホットフィクスを公開