セキュアソフト

株式会社セキュアソフト | IPS、DDoS対策、スパムメール対策、監視運用サービスを提供: 2017年3月アーカイブ

2017年3月アーカイブ

注意喚起:Apache Struts 2の脆弱性情報と Sniperシリーズの緊急シグネチャーリリースについて

idds (2017年3月 9日 17:27) | コメント(0)

Apache Software Foundation が提供する Apache Struts 2 は、

Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。

2017年3月8日にIPAより脆弱性に関する注意喚起が行われております。

Apache Struts 2脆弱性情報との共有とSniperシリーズでの対策として

シグネチャー緊急リリースをいたします。

詳しくは、下記レポートをご参照頂きますようお願いいたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起:Apache Struts 2の脆弱性情報と
Sniperシリーズの緊急シグネチャーリリースについて

 

 

1.概要

Apache Software Foundation が提供する Apache Struts 2 は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。201738日にIPAより脆弱性に関する注意喚起が行われております。今回の脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

IPAの情報によると、本脆弱性を悪用する攻撃コードおよび攻撃コードを用いたと思われる通信や被害が発生したとの情報が確認されていますので、対策済みのバージョンへのアップデートや回避策を至急実施する必要があります。(後述の参考情報を参照ください。)

  

2.脆弱性情報詳細

 (1)対象となるバージョン

  - Apache Struts 2.3.5 から 2.3.31 まで

  - Apache Struts 2.5 から 2.5.10 まで

 (2)対策

    Apache Struts を以下の最新のバージョンに更新する。

  - Apache Struts 2.3.32

  - Apache Struts 2.5.10.1

(3)対策までの対応方法

     JPCERT/CCからは以下の対応方法が提示されています。

  「Apache Software Foundation は、パーサをデフォルトの JakartaMultipart parser (JakartaMultiPartRequest) から変更することも対策として呼びかけています。速やかなアップデートが難しい場合は、本対策の適用をご検討ください。」


 3. Sniper IPS, Sniper ONEでの対策シグネチャー緊急リリース

Sniper IPS, Sniper ONEシリーズは今回の脆弱性に対するシグネチャーを3月9日付けで緊急リリース致しました。今回のようにシステムの脆弱性が見つかってもバージョンアップなどのシステム更新が必要で早急に対応できない場合に、Sniper IPS等のセキュリティ製品による多層防御システムは有効です。

 

シグネチャーコード

シグネチャー名

3431

Apache Struts2 Jakarta Multipart Parser RCE

3432

Apache Struts2 Jakarta Multipart Parser RCE.A

 

<参考情報>

    Apache Struts

    ・Version Notes 2.3.32

    ・Version Notes 2.5.10.1

    JPCERT/CC

    Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

    Apache Software Foundation

    S2-045 :

Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.

    独立行政法人情報処理推進機構 (IPA)

    Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)

2017年 採用情報 : 営業職 / エンジニア(セキュリティエンジニア / Web開発 / ソフトウェア開発)

idds (2017年3月 6日 17:26) | コメント(0)

 弊社では現在、下記の職種を募集しています。

現在募集部門

営業職

 

 ◆ 募集職種

  ・営業

 ◆ 募集対象

  ・30歳未満(新卒/第二新卒者含む) 

      ◇IT・インターネットの分野に興味のある方歓迎!

  ・40歳未満 

      ◇IT業界・情報セキュリティ業界での経験者歓迎!

    ・セキュリティ・ネットワーク、又は仮想デスクトップソリューション(VDI)に

   関する知識をお持ちの方大歓迎!

 ◆ 主な職務内容

  ・当社製品の提案及び販売

  ・販売パートナー各社の営業及び技術担当者への製品提案

  ・販売パートナー各社への販売支援、提案支援

  ・新規ビジネスの企画、提案

技術職

 

 ◆ 募集職種

  ・セキュリティエンジニア

 ◆  募集対象

  ・学歴不問

  ・年齢不問

 ◆ 主な職務内容

  ・製品の技術サポート
    (技術問い合わせ、セキュリティログ解析、パートナー 向け製品教育など)

  ・製品のリリース作業(機器の検証、マニュアル作成)

  ・営業支援活動(デモンストレーション、提案活動における調査、資料作成)

  ・新規ビジネスの評価、検証

技術職

 

 ◆ 募集職種

  ・Web開発部門エンジニア

 ◆ 募集対象

  ・学歴不問

  ・年齢不問

 ◆ 経験必須な開発言語

  ・C#及びASP.Net

 ◆ 下記のいずれかの経験をお持ちの方、尚可   

  ・javascript、jQuery

  ・MS SQL

  ・MVCモデル開発

  ・開発経験年数3~5年

 ◆ 主な職務内容

  ・自社製品サポートサイトの設計・開発・構築

  ・Windows基盤のWebサーバーをベースとしたソフトウェア製品
   及びサービスの設計・開発

  ・自社開発ソフトウェアの新バージョン、メンテナンスリリースの開発

技術職

 

 ◆ 募集職種

  ・開発部門エンジニア

 ◆ 募集対象

  ・学歴不問

  ・年齢不問

 ◆ 経験必須な開発言語

  ・C/C++

 ◆ 経験必須な開発環境(下記のいずれか)   

  ・QT

  ・MFC

  ・Windows SDK

  ・Windows Kernel Programming

 ◆ 主な職務内容

  ・新規開発

  ・既存ソリューションの機能追加

  ・保守サポート/ 開発サポート/顧客の技術対応

    ※一つのチームで機能別に開発し、開発者レベルのテストを行います。

求める人材

 

  ・目標意識の高い方、スケールの大きな仕事にチャレンジしたい方

  ・新規ビジネス立ち上げに意欲的に取り組める方

  ・明確なビジョンを持ち、それに向かって実行できる方

  ・相手を理解するコミュニケーション能力のある方

  ・業務に対する柔軟性のある方

選考フロー

  書類選考 → 面接(2~3回) → 内定

教育制度

  入社後、1か月~2か月のOJT教育
 (導入研修有り OJT等で先輩がしっかり新人研修をサポートします。)

雇用形態

  正社員(試用期間:3か月)

給与

  年俸制 ※経験・能力を考慮の上、当社規定により優遇します。

諸手当

  通勤手当、時間外手当など

昇給

  年1回

勤務地

  東京 ※転勤はありません。

勤務時間

  9:00~18:00(実働8時間)

休日・休暇

  完全週休2日制(土・日)、祝日、年末年始、有給休暇

 

 写真付きの履歴書及び職務経歴書を採用担当(saiyou@securesoft.co.jp)まで

お送り頂きますようお願いいたします。

皆様のたくさんのご応募をお待ちしております。

« 2017年2月 | メインページ | アーカイブ | 2017年4月 »

カテゴリ

月別 アーカイブ

ウェブページ

Powered by Movable Type 6.5

検索

このアーカイブについて

このページには、2017年3月に書かれた記事が新しい順に公開されています。

前のアーカイブは2017年2月です。

次のアーカイブは2017年4月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。