※最新情報は、JVN iPedia(JVN#43969166)をご覧ください。
概要
The Apache Software Foundation が提供する「Apache Struts 2」は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。「Apache Struts 2」には、不適切な入力確認に起因する任意のコードが実行可能な脆弱性が存在します。
遠隔の第三者によって、任意のコードが実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に製品開発者が提供する情報をもとに、最新版へアップデートするか、ワークアラウンドを実施してください。
本脆弱性の深刻度
対象
次の製品が対象です。
- Apache Struts 2.0.0 から 2.5.25 まで
対策
アップデートする
- 開発者が提供する情報をもとに、最新版にアップデートしてください。
ワークアラウンドを実施する
- 次の回避策を適用することで、本脆弱性の影響を軽減できます。
- 信頼できない入力値を OGNL の評価に用いない
また、開発者は回避策適用に関し、Security Guide を参照することを推奨しています。
参考情報
- 08 December 2020 - Potential RCE when using forced evaluation - CVE-2020-17530
https://struts.apache.org/announce#a20201208 - S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061 - Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200046.html - 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、IPA が届出を受け、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
https://www.ipa.go.jp/security/vuln/report/index.html
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。更新履歴
2020年12月11日 | 掲載 |
---|