セキュリティnews

2014/4/22 Apache Struts2（2.3.16、S2-020の修正版）に対するゼロディを弊社エンジニアが発見いたしました。
Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン（2.0.0）から（2.3.16）には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン（2.3.16.1）が公開されました。しかし、このバージョン（2.3.16.1）に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性があります。弊社では、Apache Struts2の窓口であるApache Software Foundationには連絡をし、公式な対応待ちです。なお、MBSD-SOCでは本脆弱性に対する攻撃を検知遮断するカスタムシグネチャにて対応済みです。公式対応へのリンク ▶
WAFマネージド・サービス詳細 ▶

2014/4/22
Apache Struts2（2.3.16、S2-020の修正版）に対するゼロディを弊社エンジニアが発見いたしました。

Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Strutsのバージョン（2.0.0）から（2.3.16）には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン（2.3.16.1）が公開されました。
しかし、このバージョン（2.3.16.1）に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。
弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。

また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性があります。

弊社では、Apache Struts2の窓口であるApache Software Foundationには連絡をし、公式な対応待ちです。
なお、MBSD-SOCでは本脆弱性に対する攻撃を検知遮断するカスタムシグネチャにて対応済みです。

公式対応へのリンク ▶

WAFマネージド・サービス詳細 ▶