HOME情報セキュリティ特集コンテンツApache Struts2 の脆弱性対策情報一覧

本文を印刷する

情報セキュリティ

Apache Struts2 の脆弱性対策情報一覧

最終更新日:2017年2月7日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

※追記すべき情報がある場合には、その都度このページを更新する予定です。

1. 概要

「Apache Struts(※1)」はウェブアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されています。日本国内ではウェブサイト構築に大変多く利用されており、その結果、「Apache Struts」で構築されたウェブサイトは相当数存在すると考えられます。

ウェブサイトはインターネット上に一旦公開すると24時間365日いつでもどこからでもアクセスが可能です。

そのため、ウェブサイトに脆弱性が存在した場合、それを放置すると、情報漏えい等の被害を受ける可能性もあります。こうした事態を避けるため、ASFより「Apache Struts」の修正パッチが公開された際には、速やかに修正パッチを適用する必要があります。

なお、このページで対象とするのは「Apache Struts 2」 です。「Apache Struts 1」は既に2013年4月5日を以ってサポートが終了しているため対象外としています。

2. 対象者

ウェブサイトを構築するシステム構築事業者(以降、SIer)の活用を想定しています。構築した、あるいは運用保守中のシステムで「Apache Struts」を使用している場合は、該当の脆弱性対策情報の有無を下記の一覧から確認し、必要に応じてアップデートするなどの対処を行ってください。

3. 対策:アップデート

3.1 「Apache Struts」本体

「Apache Struts」の脆弱性は、基本的に修正パッチを適用しアップデートしないと解消しません。事前にテストを実施し、システムが問題なく動作することを確認してから、アップデートを実施してください。

最新バージョンは 2.3.31 および 2.5.10 です。(2017年2月7日時点)

3.2 「Apache Struts」のライブラリ

「Apache Struts」には、複数の部品のようなソフトウェア製品(ライブラリ)が組み込まれています。このようなソフトウェア製品においても脆弱性は存在し、「Apache Struts」で構築されたウェブサイトにもその影響が及ぶ可能性があります(※2)。
そのため、どのようなライブラリを使用しているのか、把握、管理のためリストの作成が重要です。
なお、使用しているライブラリの脆弱性対策情報の有無はJVN iPedia(※3)等で確認することができます。

図 Apache Strutsがライブラリを使用するイメージ
図 Apache Strutsがライブラリを使用するイメージ

4. 脆弱性対策情報一覧

下記の脆弱性対策情報一覧は、「Apache Struts 2」が対象で、ASFが公開する情報(※4)を元に作成しています。
表中の「影響を受けるバージョン」のStrutsを使用している場合は、速やかにアップデートを実施してください。なお、「脆弱性悪用」は国内で悪用が確認されたと報道されたものをマークしています。必ずしも全ての攻撃が網羅されているわけではありませんし、国内での報道がなくても海外で攻撃されている場合もあります。

表 「Apache Struts」の脆弱性対策情報一覧
番号 脆弱性 影響を受けるバージョン 攻撃コード、POC 脆弱性悪用
S2-001 任意のコードを実行される脆弱性2.0.0 - 2.0.8
S2-002クロスサイト・スクリプティングの脆弱性2.0.0 - 2.0.11
S2-003任意のコードを実行される脆弱性2.0.0 - 2.0.11.2
S2-004ディレクトリ・トラバーサルの脆弱性2.0.0 - 2.0.11.2
S2-005オブジェクト保護メカニズムを回避される脆弱性2.0.0 - 2.1.8.1●1
●2
S2-006クロスサイト・スクリプティングの脆弱性2.0.0 - 2.2.1.1
S2-007任意のコードを実行される脆弱性2.0.0 - 2.2.3
S2-008複数の脆弱性2.1.0 - 2.3.1
S2-009任意のコードを実行される脆弱性2.0.0 - 2.3.1.1●1
S2-010クロスサイト・リクエスト・フォージェリの脆弱性2.0.0 - 2.3.4
S2-011サービス運用妨害(DoS)の脆弱性2.0.0 - 2.3.4
S2-012Showcase App において任意のコードを実行される脆弱性Showcase App 2.0.0 - 2.3.13
S2-013任意のコマンドを実行される脆弱性2.0.0 - 2.3.14
S2-014複数の脆弱性2.0.0 - 2.3.14.1
S2-015複数の脆弱性2.0.0 - 2.3.14.2
S2-016任意のコマンドを実行される脆弱性2.0.0 - 2.3.15●1
●2
S2-017オープンリダイレクトの脆弱性2.0.0 - 2.3.15
S2-018アクセス制御を回避される脆弱性2.0.0 - 2.3.15.2
S2-019DMI がデフォルトで無効になっている問題2.0.0 - 2.3.15.1
S2-020複数の脆弱性2.0.0 - 2.3.16●1
●2
S2-021ClassLoader を操作される脆弱性2.0.0 - 2.3.16.1●1
●2
S2-022ClassLoader を操作される脆弱性2.0.0 - 2.3.16.2●1
S2-023CSRF 保護メカニズムを回避される脆弱性2.0.0 - 2.3.16.3
S2-024アプリケーションの内部状態に対するセキュリティ侵害の脆弱性2.3.20
S2-025クロスサイト・スクリプティングの脆弱性2.0.0 - 2.3.16.3
S2-026内部オブジェクトを不正に操作される脆弱性2.0.0 - 2.3.24
S2-027任意のコードを実行される脆弱性2.0.0 - 2.3.16.3
S2-028クロスサイト・スクリプティングの脆弱性2.0.0 - 2.3.24.1
S2-029任意のコードを実行される脆弱性2.0.0 - 2.3.24.1 (except 2.3.20.3)
S2-030クロスサイト・スクリプティングの脆弱性2.0.0 - 2.3.24.1
S2-031任意のコードを実行される脆弱性2.0.0 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-032任意のコードを実行される脆弱性2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)●1
●2
●3
S2-033任意のコードを実行される脆弱性2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-034サービス運用妨害 (DoS) の脆弱性2.0.0 - 2.3.24.1
S2-035不正なペイロードを作成できてしまう問題2.0.0 - 2.3.28.1
S2-036任意のコードを実行される脆弱性2.0.0 - 2.3.28.1
S2-037任意のコードを実行される脆弱性2.3.20 - 2.3.28.1
S2-038クロスサイト・リクエスト・フォージェリの脆弱性2.3.20 - 2.3.28.1
S2-039Getter メソッドにおける検証回避の脆弱性2.3.20 - 2.3.28.1
S2-040入力値検証の回避の脆弱性2.3.20 - 2.3.28.1
S2-041サービス運用妨害 (DoS) の脆弱性2.3.20 - 2.3.28.1 and 2.5
S2-042パス・トラバーサルの脆弱性2.3.20 - 2.3.30
S2-043Config Browser plugin から設定情報を閲覧できる問題Any Struts 2 version
S2-044サービス運用妨害 (DoS) の脆弱性2.5 - 2.5.5

脚注

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター
E-mail:

更新履歴

2017年2月7日 「3. 対策:アップデート」の最新バージョン情報を更新
2016年12月20日 「3. 対策:アップデート」の最新バージョン情報を更新
2016年12月5日 脆弱性対策情報一覧に追記(S2-044)
2016年11月14日 掲載