「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃受けるおそれ

「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃を受けるおそれがあることがわかった。最新版で修正されており、開発チームはアップデートを呼びかけている。

開発チームでは「S2-056」としてアナウンスし、注意喚起を行っている

「Apache Struts 2」に含まれるRESTプラグインの「XStreamライブラリ」に、脆弱性「CVE-2018-1327」が存在することが明らかとなったもの。

細工されたXMLリクエストを読み込むと、サービス拒否が発生するおそれがある。重要度は「中（Medium）」とレーティングされている。

開発チームでは、3月16日にリリース済みのGeneral Availability版である「同2.5.16」にて対応したとしており、同版に同梱される「Jackson XMLハンドラ」へ切り替えるよう呼びかけている。アップデートできない場合の回避策としても、「XStreamハンドラ」のかわりに「Jackson XMLハンドラ」を利用するようアナウンスしている。

また脆弱性の判明を受けて、注意喚起を行ったJPCERTコーディネーションセンターによれば、今回明らかとなった脆弱性を悪用する攻撃は発生していないという。

（Security NEXT - 2018/03/28 ） ツイート

PR

関連記事

「Cisco Meraki 」にDoS脆弱性 - SSL VPN処理で強制再起動
「IBM QRadar SIEM」に複数脆弱性 - 修正パッチをリリース
ゲームサーバ管理ツール「Pterodactyl Panel」に脆弱性 - 悪用の動きも
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
「GeoTools」にXXE脆弱性 - 「GeoServer」なども影響
「Roundcube」にアップデート - 前バージョンの不具合を解消
Trend Microの暗号化管理製品にRCEや認証回避など深刻な脆弱性
マルウェア対策ソフト「ClamAV」に深刻な脆弱性 - パッチが公開
脆弱性スキャナ「Nessus」のWindows版エージェントに複数脆弱性
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正