Java使いは注意!Apache Struts2に複数の脆弱性が報告される
IPAが、Apache Struts2に、複数の脆弱性があることを公開し、警告を発しています。
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
Apache Struts 2 には、ClassLoader を操作される脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113)が存在します。
本脆弱性が悪用された場合は、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行される可能性があることがわかっています。
同ページには、この脆弱性を利用した攻撃のイメージも掲載されており、注意喚起をしています。
Javaベースのwebアプリケーション開発には広く使われているフレームワークの脆弱性を利用したものであるがゆえに、影響範囲はかなり広いものになっています。
IPAは対策として、
・アップデート
・設定変更
を掲げていますが、開発の途上にある場合など、設定変更やアップデートには慎重にならざるを得ない場合も多いのではないでしょうか。
なお、Strutsにはその他、devModeが有効になっている場合のクロスサイトスクリプティングに関する脆弱性も発見されており、注意喚起が成されています。ご注意を。
JVN#95989300 Apache Struts におけるクロスサイトスクリプティングの脆弱性