2017年3にApache Struts 2の脆弱性（S2-045）に関する注意喚起を掲載しましたが、

１か月経過した現在も本脆弱性を悪用した攻撃が増加傾向にあります。

Apache Struts 2脆弱性情報との共有とSniperシリーズでの対策として

シグネチャー緊急リリースをいたします。

詳しくは、下記レポートをご参照頂きますようお願いいたします。

本記事はこちらよりPDFにてご覧頂けます。

【続報】注意喚起：Apache Struts 2の脆弱性情報と
Sniperシリーズのシグネチャーリリースについて

1．概要

2017年3月にApache Struts 2の脆弱性(S2-045)に関する注意喚起を掲載しましたが、1か月経過した現在も本脆弱性を悪用した攻撃が増加傾向にあります。また、本脆弱性により国内でも個人情報漏洩などの被害報告が行われております。2017年3月21日にIPAより関連脆弱性として「S2-046」の注意喚起も行われており、より一層緊急度を上げた対応を実施する必要があります。（後述の参考情報を参照ください。）

 ２．脆弱性情報詳細

 (1)対象となるバージョン

  - Apache Struts 2.3.5 から 2.3.31 まで

  - Apache Struts 2.5 から 2.5.10　まで

 (2)対策

  　Apache Struts を以下の最新バージョンに更新する。

  - Apache Struts 2.3.32

  - Apache Struts 2.5.10.1

 (3)対策までの対応方法

 　 JPCERT/CCからは以下の対応方法が提示されています。

　　「Apache Software Foundation は、パーサをデフォルトの JakartaMultipart parser (JakartaMultiPartRequest) から変更することも対策として呼びかけています。速やかなアップデートが難しい場合は、本対策の適用をご検討ください。」

※上記方法では本脆弱性に対応できない事が確認された為、次の対応方法が提示されています。

 1.    「Apache Software Foundation より、File Upload Interceptor を無効化する回避策が追加で案内されています。本回避策は、Struts 2.5.8 から2.5.10 に対して有効とのことです。回避策を適用する場合は、十分な検証の上、実施してください。」

2.    「アドバイザリ (S2-046) で公開された脆弱性について、既に公開されているアドバイザリ (S2-045) と、

脆弱性識別番号 (CVE-2017-5638) は同じであり、修正バージョンの変更はありませんが、回避策 (Jakarta Multipart parser/JakartaStreamMultiPartRequest の修正用プラグイン) が追加で案内されています。」

 3. Sniper IPS, Sniper ONEでの対策シグネチャーリリース

Sniper IPS, Sniper ONEシリーズは今回の脆弱性に対するシグネチャーをリリース致しました。

今回のようにシステムの脆弱性が見つかってもバージョンアップなどのシステム更新が必要で早急に対応できない場合に、

Sniper IPS等のセキュリティ製品による多層防御システムは有効です。

■３月９日 リリース (S2-045対応)

■３月2９日 リリース (S2-046対応)

 ＜参考情報＞

    ■Apache Struts 2

    ・Version Notes 2.3.32

    ・Version Notes 2.5.10.1

    ・Struts Extras

    ■Apache Struts 2 Documentation

    ・Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.

    ・Possible RCE when performing file upload based on Jakarta Multipart parser (similar to S2-045)

     ■JPCERT/CC

    ・Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

     ■独立行政法人情報処理推進機構 (IPA)

    ・Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)

お客様各位

平素よりSecureSoft Sniper IPSサポートサービスをご利用いただきまして
誠にありがとうございます。

この度、シグネチャアップデートサーバ定期メンテナンスを実施致します。
尚、作業実施に伴い、サービスが一時停止いたします。

作業中はご迷惑をおかけいたしますが、ご理解の程、宜しくお願いいたします。

---------------------------------------------------------------------
□【実施予定日】2017年4月22日 (土)　10:00～18:00 (8時間)

※上記時間帯の内、10：00～13：00はアクセス不可となります。
---------------------------------------------------------------------
※詳細につきましては添付ファイルをご参照下さい。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

  株式会社テリロジー（以下：テリロジー、本社：東京都千代田区、代表取締役会長：津吹憲男）は、

弊社の独自開発製品である「SecureSoft コンテナシリーズ」を販売開始します。

具体的には、マルウェアなどの外部からの侵入を隔離するインターネットアクセス専用

ソフトウエア「SecureSoft i-コンテナ」と、独立した業務専用の仮想デスクトップを提供し、

情報漏えいを防止するソフトウエア「SecureSoft S-コンテナ」を平成29年４月10日より販売を開始します。

  詳しくは、こちらより詳細をご覧いただけます。

  今回、ハードウェアからソフトウエアまでの幅広い製品を取り扱うネットワーク・インテグレータである

テリロジーが弊社製品を販売することにより、より多くのお客様に本製品をお届けする事が可能となりました。

  今後もセキュアソフトは、総合セキュリティベンダーとしてセキュリティ業界をリードし、

お客様のニーズに応え、ご満足頂けるソリューションを提供して参ります。

2017年4月1日(土)に、グループ会社で弊社代表取締役社長が社長を兼任しております

サービス＆セキュリティ株式会社に96名の新入社員の方が入られ、入社式が行われました。

新入社員の皆様、ご入社おめでとうございます。