Java使いは注意!Apache Struts2に複数の脆弱性が報告される


IPAが、Apache Struts2に、複数の脆弱性があることを公開し、警告を発しています。

更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)

Apache Struts 2 には、ClassLoader を操作される脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113)が存在します。

本脆弱性が悪用された場合は、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行される可能性があることがわかっています。

同ページには、この脆弱性を利用した攻撃のイメージも掲載されており、注意喚起をしています。

Apache Struts2

Javaベースのwebアプリケーション開発には広く使われているフレームワークの脆弱性を利用したものであるがゆえに、影響範囲はかなり広いものになっています。

IPAは対策として、

・アップデート

・設定変更

を掲げていますが、開発の途上にある場合など、設定変更やアップデートには慎重にならざるを得ない場合も多いのではないでしょうか。

なお、Strutsにはその他、devModeが有効になっている場合のクロスサイトスクリプティングに関する脆弱性も発見されており、注意喚起が成されています。ご注意を。

JVN#95989300 Apache Struts におけるクロスサイトスクリプティングの脆弱性

 

 


関連記事一覧

コメント

  • コメント (0)

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

we love develop
アプリやシステムの開発を通じて、お客様のビジネスを成長させることが私たちのビジネスです。お気軽にお問い合わせください。
 お問い合せ

お電話でのお問い合わせはこちらから
TEL:03-5297-2871

メールマガジンの登録

キャパでは誰かに話したくなるようなIT小ネタを、週に一回メルマガで配信しています。
ぜひ購読してみませんか?
 購読する

ホワイトペーパーの入手

ITブログ月間20万PV達成!自社オウンドメディアの運用ノウハウを無料公開しています。
 ダウンロード

記事カテゴリ記事カテゴリ

月別投稿記事

PAGE TOP