Apache Software Foundation が提供する Apache Struts 2 は、

Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。

2017年3月8日にIPAより脆弱性に関する注意喚起が行われております。

Apache Struts 2脆弱性情報との共有とSniperシリーズでの対策として

シグネチャー緊急リリースをいたします。

詳しくは、下記レポートをご参照頂きますようお願いいたします。

本記事はこちらよりPDFにてご覧頂けます。


注意喚起:Apache Struts 2の脆弱性情報と
Sniper
シリーズの緊急シグネチャーリリースについて

 

 

1.概要

Apache Software Foundation が提供する Apache Struts 2 は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。201738日にIPAより脆弱性に関する注意喚起が行われております。今回の脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

IPAの情報によると、本脆弱性を悪用する攻撃コードおよび攻撃コードを用いたと思われる通信や被害が発生したとの情報が確認されていますので、対策済みのバージョンへのアップデートや回避策を至急実施する必要があります。(後述の参考情報を参照ください。)

  

2.脆弱性情報詳細

 (1)対象となるバージョン

  - Apache Struts 2.3.5 から 2.3.31 まで

  - Apache Struts 2.5 から 2.5.10 まで

 (2)対策

    Apache Struts を以下の最新のバージョンに更新する。

  - Apache Struts 2.3.32

  - Apache Struts 2.5.10.1

(3)対策までの対応方法

     JPCERT/CCからは以下の対応方法が提示されています。

  「Apache Software Foundation は、パーサをデフォルトの JakartaMultipart parser (JakartaMultiPartRequest) から変更することも対策として呼びかけています。速やかなアップデートが難しい場合は、本対策の適用をご検討ください。」


 3. Sniper IPS, Sniper ONEでの対策シグネチャー緊急リリース

Sniper IPS, Sniper ONEシリーズは今回の脆弱性に対するシグネチャーを3月9日付けで緊急リリース致しました。今回のようにシステムの脆弱性が見つかってもバージョンアップなどのシステム更新が必要で早急に対応できない場合に、Sniper IPS等のセキュリティ製品による多層防御システムは有効です。

 

シグネチャーコード

シグネチャー名

3431

Apache Struts2 Jakarta Multipart Parser RCE

3432

Apache Struts2 Jakarta Multipart Parser RCE.A

 

<参考情報>

    Apache Struts

    ・Version Notes 2.3.32

    ・Version Notes 2.5.10.1

    JPCERT/CC

    Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

    Apache Software Foundation

    S2-045 :

Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.

    独立行政法人情報処理推進機構 (IPA)

    Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)