情報セキュリティ

Apache Struts2 の脆弱性対策情報一覧

最終更新日:2023年12月8日

独立行政法人情報処理推進機構
セキュリティセンター

  1. 注釈:
    追記すべき情報がある場合には、その都度本ページを更新する予定です。

1. 概要

本ページは、「Apache Struts(脚注1)」の脆弱性対策情報をまとめたものです。
「Apache Struts」はウェブアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されています。日本国内ではウェブサイト構築に大変多く利用されており、その結果、「Apache Struts」で構築されたウェブサイトは相当数存在すると考えられます。

ウェブサイトはインターネット上に一旦公開すると24時間365日いつでもどこからでもアクセスが可能です。

そのため、ウェブサイトに脆弱性が存在した場合、それを放置すると、情報漏えい等の被害を受けるおそれもあります。こうした事態を避けるため、ASFより「Apache Struts」の修正パッチが公開された際には、速やかに修正パッチを適用する必要があります。

なお、本ページの対象とするのは「Apache Struts 2」 です。「Apache Struts 1」は既に2013年4月5日を以ってサポートを終了しているため対象としておりません。

2. 対象者

ウェブサイトを構築するシステム構築事業者(以降、SIer)の活用を想定しています。構築した、あるいは運用保守中のシステムで「Apache Struts」を使用している場合は、該当の脆弱性対策情報の有無を下記の一覧から確認し、必要に応じてアップデートするなどの対処を行ってください。

3. 対策:アップデート

3.1 「Apache Struts」本体

「Apache Struts」の脆弱性は、基本的に修正パッチを適用しアップデートしないと解消しません。システムが問題なく動作することを事前にテストなど確認した上で、アップデートを実施してください。

3.2 「Apache Struts」のライブラリ

「Apache Struts」には、複数の部品のようなソフトウェア製品(ライブラリ)が組み込まれています。このようなソフトウェア製品においても脆弱性は存在し、「Apache Struts」で構築されたウェブサイトにもその影響が及ぶおそれがあります(脚注2)。
そのため、どのようなライブラリを使用しているのか、把握、管理のためリストの作成が重要です。
なお、使用しているライブラリの脆弱性対策情報の有無はJVN iPedia(脚注3)等で確認することができます。

  • 図 Apache Strutsがライブラリを使用するイメージ

4. 脆弱性対策情報一覧

下記の脆弱性対策情報一覧は、「Apache Struts 2」が対象で、ASFが公開する情報(脚注4)を元に作成しています。
表中の「影響を受けるバージョン」のStrutsを使用している場合は、速やかにアップデートを実施してください。なお、「脆弱性悪用」は国内で悪用が確認されたと報道されたものをマークしています。必ずしも全ての攻撃が網羅されているわけではありませんし、国内での報道がなくても海外で攻撃されている場合もあります。

「Apache Struts」の脆弱性対策情報一覧

S2-001

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.0.8

攻撃コード、POC

脆弱性悪用

S2-002

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.1.8.1

攻撃コード、POC

脆弱性悪用

S2-003

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.1.8.1

攻撃コード、POC

脆弱性悪用

S2-004

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.0.11.2
2.1.0 - 2.1.2

攻撃コード、POC

脆弱性悪用

S2-005

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.1.8.1

攻撃コード、POC

脆弱性悪用

S2-006

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.2.1.1

攻撃コード、POC

脆弱性悪用

S2-007

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.2.3

攻撃コード、POC

脆弱性悪用

S2-008

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.2.3
2.0.0 - 2.3.17

攻撃コード、POC

脆弱性悪用

S2-009

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.1.1

攻撃コード、POC

脆弱性悪用

S2-010

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.4

攻撃コード、POC

脆弱性悪用

S2-011

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.4

攻撃コード、POC

脆弱性悪用

S2-012

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.14.2

攻撃コード、POC

脆弱性悪用

S2-013

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.14.1

攻撃コード、POC

脆弱性悪用

S2-014

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.14.1

攻撃コード、POC

脆弱性悪用

S2-015

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.14.2

攻撃コード、POC

脆弱性悪用

S2-016

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.15

攻撃コード、POC

脆弱性悪用

S2-017

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.15

攻撃コード、POC

脆弱性悪用

S2-018

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.15.2

攻撃コード、POC

脆弱性悪用

S2-019

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.15.1

攻撃コード、POC

脆弱性悪用

S2-020

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.16.1

攻撃コード、POC

脆弱性悪用

S2-021

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.16.3

攻撃コード、POC

脆弱性悪用

S2-022

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.16.3

攻撃コード、POC

脆弱性悪用

S2-023

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.16.3

攻撃コード、POC

脆弱性悪用

S2-024

脆弱性対策情報
影響を受けるバージョン

2.3.20

攻撃コード、POC

脆弱性悪用

S2-025

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.16.3

攻撃コード、POC

脆弱性悪用

S2-026

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.24

攻撃コード、POC

脆弱性悪用

S2-027

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.16.3

攻撃コード、POC

脆弱性悪用

S2-028

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.24.1

攻撃コード、POC

脆弱性悪用

S2-029

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.24.1 (2.3.20.3 を除く)

攻撃コード、POC

脆弱性悪用

S2-030

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.24.1

攻撃コード、POC

脆弱性悪用

S2-031

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.28 (2.3.20.3 および 2.3.24.3 を除く)

攻撃コード、POC

脆弱性悪用

S2-032

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28 (2.3.20.3 および 2.3.24.3 を除く)

攻撃コード、POC

脆弱性悪用

S2-033

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28 (2.3.20.3 および 2.3.24.3 を除く)

攻撃コード、POC

脆弱性悪用

S2-034

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.24.1

攻撃コード、POC

脆弱性悪用

S2-035

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.28.1

攻撃コード、POC

脆弱性悪用

S2-036

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.28.1

攻撃コード、POC

脆弱性悪用

S2-037

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28.1

攻撃コード、POC

脆弱性悪用

S2-038

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28.1

攻撃コード、POC

脆弱性悪用

S2-039

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28.1

攻撃コード、POC

脆弱性悪用

S2-040

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28.1

攻撃コード、POC

脆弱性悪用

S2-041

脆弱性対策情報
影響を受けるバージョン

2.3.20 - 2.3.28.1
2.5 - 2.5.12

攻撃コード、POC

脆弱性悪用

S2-042

脆弱性対策情報
影響を受けるバージョン

2.3.1 - 2.3.30
2.5 - 2.5.2

攻撃コード、POC

脆弱性悪用

S2-043

脆弱性対策情報
影響を受けるバージョン

いくつかの Struts 2 バージョン

攻撃コード、POC

脆弱性悪用

S2-044

脆弱性対策情報
影響を受けるバージョン

2.5 - 2.5.12

攻撃コード、POC

脆弱性悪用

S2-045

脆弱性対策情報
影響を受けるバージョン

2.3.5 - 2.3.31
2.5 - 2.5.10

攻撃コード、POC

脆弱性悪用

S2-046

脆弱性対策情報
影響を受けるバージョン

2.3.5 - 2.3.31
2.5 - 2.5.10

攻撃コード、POC

脆弱性悪用

S2-047

脆弱性対策情報
影響を受けるバージョン

2.5 - 2.5.10.1

攻撃コード、POC

脆弱性悪用

S2-048

脆弱性対策情報
影響を受けるバージョン

2.1.x - 2.3.x

攻撃コード、POC

脆弱性悪用

S2-049

脆弱性対策情報
影響を受けるバージョン

2.3.7 - 2.3.32 
2.5 - 2.5.10.1

攻撃コード、POC

脆弱性悪用

S2-050

脆弱性対策情報
影響を受けるバージョン

2.3.7 - 2.3.33 
2.5 - 2.5.12

攻撃コード、POC

脆弱性悪用

S2-051

脆弱性対策情報
影響を受けるバージョン

2.1.6 - 2.3.33
2.5 - 2.5.12

攻撃コード、POC

脆弱性悪用

S2-052

脆弱性対策情報
影響を受けるバージョン

2.1.2 - 2.3.33
2.5 - 2.5.12

攻撃コード、POC

脆弱性悪用

S2-053

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.3.33
2.5 - 2.5.10.1

攻撃コード、POC

脆弱性悪用

S2-054

脆弱性対策情報
影響を受けるバージョン

2.5 - 2.5.14

攻撃コード、POC

脆弱性悪用

S2-055

脆弱性対策情報
影響を受けるバージョン

2.5 - 2.5.14

攻撃コード、POC

脆弱性悪用

S2-056

脆弱性対策情報
影響を受けるバージョン

2.1.1 - 2.5.14.1

攻撃コード、POC

脆弱性悪用

S2-057

脆弱性対策情報
影響を受けるバージョン

2.3 - 2.3.34
2.5 - 2.5.16
サポートされていないバージョンも影響を受けるおそれがあります。

攻撃コード、POC

脆弱性悪用

S2-058

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.5.12

攻撃コード、POC

脆弱性悪用

S2-059

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.5.20

攻撃コード、POC

脆弱性悪用

S2-060

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.5.20

攻撃コード、POC

脆弱性悪用

S2-061

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.5.25

攻撃コード、POC

S2-062

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 2.5.29

攻撃コード、POC

脆弱性悪用

S2-063

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 6.1.2

攻撃コード、POC

脆弱性悪用

S2-064

脆弱性対策情報
影響を受けるバージョン

2.0.0 - 6.1.2

攻撃コード、POC

脆弱性悪用

S2-065

脆弱性対策情報
影響を受けるバージョン

2.5.31
6.1.2.1 - 6.3.0

攻撃コード、POC

脆弱性悪用

S2-066

脆弱性対策情報
影響を受けるバージョン

2.5.0 - 2.5.32
6.0.0 - 6.3.0

攻撃コード、POC

脆弱性悪用

脚注

  1. 脚注1
  2. 脚注2
  3. 脚注3
  4. 脚注4

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2023年12月8日

    「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-066)
    「3. 対策:アップデート」の最新バージョン情報を更新

  • 2023年9月14日

    「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-065)
    「3. 対策:アップデート」の最新バージョン情報を更新

  • 2023年8月31日

    「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-063)
    「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-064)
    「3. 対策:アップデート」の最新バージョン情報を更新

  • 2022年4月13日

    「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-062)

  • 2020年12月9日

    「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-061)

  • 2020年12月8日

    「3. 対策:アップデート」の最新バージョン情報を更新

  • 2020年9月29日

    「3. 対策:アップデート」の最新バージョン情報を更新

  • 2020年8月14日

    • 「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-059)
    • 「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-060)
  • 2019年12月2日

    「3. 対策:アップデート」の最新バージョン情報を更新

  • 2019年9月20日

    「3. 対策:アップデート」のバージョンに2.3.xのEOLを追記