Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Struts 2」にRCE脆弱性が判明 - アップデートがリリース

「Apache Struts 2」の開発チームは、バグの修正や脆弱性に対処したアップデート「同2.5.26」をリリースした。セキュリティ機関も注意喚起を行っている。

同バージョンでは、ユーザーが入力したタグ属性に対してOGNLによる評価を強制した場合、二重評価によって評価が書き換えられ、リモートよりコードを実行されるおそれがある脆弱性「CVE-2020-17530」に対処した。

8月に公表された「CVE-2019-0230」と類似した脆弱性で、重要度は「重要(Important)」とレーティングされている。GitHub Security LabのAlvaro Munoz氏やエーアイセキュリティラボの安西真人氏から報告が寄せられたという。

開発チームでは12月6日に公開した「同2.5.26」で同脆弱性を修正。同バージョンへのアップデートを強く推奨している。またアップデートのリリースを受けてJPCERTコーディネーションセンターなどからも注意喚起が行われている。

(Security NEXT - 2020/12/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware Tanzu for Valkey」の脆弱性を修正 - 「クリティカル」も
「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
米当局、「Trend Micro Apex One」に対する脆弱性攻撃に注意喚起
「Flowise」に深刻な脆弱性、パッチは未提供 - PoCが公開
「Microsoft Edge」にアップデート - 脆弱性5件を解消
「Trend Micro Apex One」ゼロデイ脆弱性の修正パッチが公開
CMS「Drupal」の二要素認証モジュールに認証回避のおそれ
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消