「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃受けるおそれ

「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃を受けるおそれがあることがわかった。最新版で修正されており、開発チームはアップデートを呼びかけている。

開発チームでは「S2-056」としてアナウンスし、注意喚起を行っている

「Apache Struts 2」に含まれるRESTプラグインの「XStreamライブラリ」に、脆弱性「CVE-2018-1327」が存在することが明らかとなったもの。

細工されたXMLリクエストを読み込むと、サービス拒否が発生するおそれがある。重要度は「中（Medium）」とレーティングされている。

開発チームでは、3月16日にリリース済みのGeneral Availability版である「同2.5.16」にて対応したとしており、同版に同梱される「Jackson XMLハンドラ」へ切り替えるよう呼びかけている。アップデートできない場合の回避策としても、「XStreamハンドラ」のかわりに「Jackson XMLハンドラ」を利用するようアナウンスしている。

また脆弱性の判明を受けて、注意喚起を行ったJPCERTコーディネーションセンターによれば、今回明らかとなった脆弱性を悪用する攻撃は発生していないという。

（Security NEXT - 2018/03/28 ） ツイート

PR

関連記事

AIアプリの構築に活用される「BentoML」に深刻な脆弱性
「WooCommerce」向けのカスタムフィールド追加プラグインにRCE脆弱性
「MS Edge」にアップデート - 重要度「クリティカル」の脆弱性を解消
「Ruby」に3件の脆弱性、アップデートで修正を実施
Node.js向けMySQLクライアント「MySQL2」に脆弱性
「GitLab」に複数脆弱性 - セキュリティパッチをリリース
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「PAN-OS」の脆弱性侵害、段階ごとの対策を説明 - Palo Alto
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
バッファロー製ルータに脆弱性 - パスワード取得、コマンド実行のおそれ