- 2015年9月8日
- その他脆弱性情報
JavaのWebアプリケーションフレームワークである「Apache Struts2」に脆弱性
Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているJavaのWebアプリケーションフレームワークである「Apache Struts2」に脆弱性が発見されたとJVNが公表した。
脆弱性タイプ
①XSS(クロスサイトスクリプティング)
※devMode が有効になっている場合
②XSS(クロスサイトスクリプティング)
(2件のXSSが発生しております)
想定被害
①ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性がある。
②XSS フィルタが無効になっているユーザの Internet Explorer 上で、任意のスクリプトを実行される可能性がある。
発見されたシステム・バージョン
①Apache Struts 2.3.20 より前のバージョン
※Apache Struts1の影響の有無は不明
②Apache Struts 2.3.20 より前のバージョン
※Apache Struts1の影響の有無は不明
対応方法
①開発者の情報を元に最新版(2.3.20)へアップデートする。アップデートで出来ない場合はdevMode を無効にすることにより本問題の影響を回避可能とのこと。
②開発者の情報を元に最新版(2.3.20)へアップデートする。さらに開発者は以下の対応も推奨している。
- 直接アクセスできないように JSP ファイルを WEB-INF フォルダ内に移動する
- web.xml にセキュリティ設定を追記する
Apache Strutsには1,2とあり、Apache Struts1もいまだに多くのサイトで使用されいるが、脆弱性が発見されており、また2013年4月5日付けでサポートが終了しているため、利用することはあまりお勧めできない。
Apache Struts2には前々から脆弱性情報が発見されており、そのたびに修正を繰り返してきている。
今回の脆弱性も早めのアップデートを実施し、対策したほうがよさそうです。