Apache Struts は、Webサーバ上で Java によるWebアプリケーションを作成・提供する仕組みとして、広く利用されているオープンソースソフトウェアですが、この Apache Struts に深刻な脆弱性(ぜいじゃくせい)が発見されました。
この脆弱性が悪用されると、外部から下記の操作が行われる可能性が指摘されています。
脆弱性に該当するバージョンの Apache Struts を使用している事業者・組織においては、早急な対策が必要です。
脆弱性が発見された Apache Struts のバージョンは次の通りです。
各組織で運用・提供しているWebサーバで Apache Struts を使用していることの有無と、使用している場合は、脆弱性が存在するバージョンのApache Strutsを使用しているかどうかを確認してください。確認にあたっては、システムや製品の提供元、保守ベンダー等に相談してください。
Apache Struts 1 系は、既に開発元でのサポートが終了しており、今回の脆弱性に関して、暫定的な回避策や修正プログラムの提供は行われないことが想定されます。Apache 1 系を使用している Web システムにおいては、攻撃が行われた場合の影響や被害を検討し、場合によってはサービスの停止等を含めた判断を行う必要がありますので、システムや製品の提供元、保守ベンダー等へ相談してください。
また、根本的対策として、サポートを受けられるソフトウェアへの移行を検討する方法が考えられます。
開発元より脆弱性が修正されたプログラムが配布されていますので、各システムへの影響を検討のうえ、適切にソフトウェアの更新を行ってください。