HOME情報セキュリティApache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)

本文を印刷する

情報セキュリティ

Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)

最終更新日:2017年9月7日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、REST プラグインを使用している場合に XML リクエストの処理に起因する、リモートで任意のコードが実行される脆弱性(CVE-2017-9805)が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

本脆弱性を悪用する攻撃コードが公開されていますので、対策済みのバージョンへのアップデートや回避策を至急実施してください。IPAでは攻撃コードが動作することを確認しています。

脆弱性を悪用した攻撃のイメージ
図:脆弱性を悪用した攻撃のイメージ

影響を受けるバージョン

  • Struts 2.1.2 から Struts 2.3.33, Struts 2.5 から Struts 2.5.12

    なお、IPA では Apache Struts 2.3.33, 2.5.12 にて攻撃コードが動作することを確認しています。

Apache Struts 1 への影響は把握しておりません。

なお、「Apache Struts 1」は既に2013年4月5日を以ってサポートが終了しています。
一般的にサポートが終了した製品は脆弱性が判明した場合でも脆弱性対策の修正対応は実施されず、影響等の情報も公開されません。
サポート終了している「Apache Struts 1」をご利用の場合は利用を停止し、早急に移行をご検討ください。

Apache Struts 2 系のバージョンの確認方法例

Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。
※ 2.x.x.x の部分が、利用している Struts 2 のバージョンです。

対策

脆弱性の解消 - アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

Download a Release of Apache Struts - Struts 2.5.13
https://struts.apache.org/download.cgi#struts2513別ウィンドウで開く
Download a Release of Apache Struts - Struts 2.3.34
https://struts.apache.org/download.cgi#struts-23x別ウィンドウで開く

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2017年9月7日 対策:リンク情報の更新、参考情報:リンク情報の更新
2017年9月6日 影響を受けるバージョン:更新
2017年9月6日 影響を受けるバージョン:更新、参考情報:リンク情報の更新
2017年9月6日 掲載