JavaのWebアプリケーションフレームワークである「Apache Struts2」に脆弱性

Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているJavaのWebアプリケーションフレームワークである「Apache Struts2」に脆弱性が発見されたとJVNが公表した。

 

脆弱性タイプ

①XSS(クロスサイトスクリプティング)

※devMode が有効になっている場合

 

②XSS(クロスサイトスクリプティング)

 

(2件のXSSが発生しております)

 

想定被害

①ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性がある。

 

②XSS フィルタが無効になっているユーザの Internet Explorer 上で、任意のスクリプトを実行される可能性がある。

 

発見されたシステム・バージョン

①Apache Struts 2.3.20 より前のバージョン

※Apache Struts1の影響の有無は不明

 

②Apache Struts 2.3.20 より前のバージョン

※Apache Struts1の影響の有無は不明

 

対応方法

①開発者の情報を元に最新版(2.3.20)へアップデートする。アップデートで出来ない場合はdevMode を無効にすることにより本問題の影響を回避可能とのこと。

 

②開発者の情報を元に最新版(2.3.20)へアップデートする。さらに開発者は以下の対応も推奨している。

  • 直接アクセスできないように JSP ファイルを WEB-INF フォルダ内に移動する
  • web.xml にセキュリティ設定を追記する

 

Apache Strutsには1,2とあり、Apache Struts1もいまだに多くのサイトで使用されいるが、脆弱性が発見されており、また2013年4月5日付けでサポートが終了しているため、利用することはあまりお勧めできない。

Apache Struts2には前々から脆弱性情報が発見されており、そのたびに修正を繰り返してきている。

 

今回の脆弱性も早めのアップデートを実施し、対策したほうがよさそうです。

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています