三井物産セキュアディレクション セキュリティ診断なら

セキュリティnews

title1

2014/4/22
Apache Struts2(2.3.16、S2-020の修正版)に対するゼロディを弊社エンジニアが発見いたしました。

Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。
しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。
弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。

また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性があります。

弊社では、Apache Struts2の窓口であるApache Software Foundationには連絡をし、公式な対応待ちです。
なお、MBSD-SOCでは本脆弱性に対する攻撃を検知遮断するカスタムシグネチャにて対応済みです。

公式対応へのリンク

WAFマネージド・サービス詳細


ページトップにページトップへ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 TT-1ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)

 
赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ

    ボックスサービス

  • 矢印情報漏えい調査
  • 矢印セキュリティ診断
  • ・Webアプリケーション診断
  • ・スマートフォンアプリケーション診断
  • ・組込機器診断
  • ・RIA診断
  • ・ネットワーク診断
  • ・ソーシャルゲーム診断
  • ・標的型攻撃耐性診断
  • 矢印マルウェア解析
  • ・マルウェア解析
  • ・マルウェア感染予兆検知診断
  • 矢印セキュリティ教育
  • ・セキュアwebアプリケーション開発教育
  • ・インフラセキュリティ教育
  • ・セキュアスマートフォンアプリケーション開発教育