ホーム企業・組織の対策脆弱性の注意喚起 > Apache Strutsの脆弱性について


Apache Strutsの脆弱性について(2014年5月1日更新)

  Apache Struts は、Webサーバ上で Java によるWebアプリケーションを作成・提供する仕組みとして、広く利用されているオープンソースソフトウェアですが、この Apache Struts に深刻な脆弱性(ぜいじゃくせい)が発見されました。
  この脆弱性が悪用されると、外部から下記の操作が行われる可能性が指摘されています。

  • 情報の窃取、ファイルの不正な操作が行われる
  • Webアプリケーションを使用不能にされる
  • サーバ上で不正な Java コードが実行される
  脆弱性に該当するバージョンの Apache Struts を使用している事業者・組織においては、早急な対策が必要です。

脆弱性を持つ Apache Struts のバージョン

  脆弱性が発見された Apache Struts のバージョンは次の通りです。

  • Apache Struts 1 系
  • Apache Struts 2.0.0 から 2.3.16.1

対策の方法

  各組織で運用・提供しているWebサーバで Apache Struts を使用していることの有無と、使用している場合は、脆弱性が存在するバージョンのApache Strutsを使用しているかどうかを確認してください。確認にあたっては、システムや製品の提供元、保守ベンダー等に相談してください。

Apache Struts 1 系の対策

  Apache Struts 1 系は、既に開発元でのサポートが終了しており、今回の脆弱性に関して、暫定的な回避策や修正プログラムの提供は行われないことが想定されます。Apache 1 系を使用している Web システムにおいては、攻撃が行われた場合の影響や被害を検討し、場合によってはサービスの停止等を含めた判断を行う必要がありますので、システムや製品の提供元、保守ベンダー等へ相談してください。
  また、根本的対策として、サポートを受けられるソフトウェアへの移行を検討する方法が考えられます。

Apache Struts 2 系の対策

  開発元より脆弱性が修正されたプログラムが配布されていますので、各システムへの影響を検討のうえ、適切にソフトウェアの更新を行ってください。

「Download a Release of Apache Struts - Struts 2.3.16.2」
http://struts.apache.org/download.cgi#struts23162

  また、すぐにプログラムの更新が行えない場合は、開発元より暫定的な回避策が発表されていますので、下記のページを参照して回避策の適用を検討してください。

「24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation」
http://struts.apache.org/announce.html#a20140424