HOME情報セキュリティApache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032)

本文を印刷する

情報セキュリティ

Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032)

最終更新日:2016年5月6日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、DMI(Dynamic Method Invocation)機能に起因する脆弱性(CVE-2016-3081)が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートや回避策を至急実施してください。

5/6 更新
攻撃コードを用いたと思われる通信や被害が発生したとの情報があります。当該脆弱性に未対応の方は、大至急、対策済みのバージョンへのアップデートや回避策を実施してください。

脆弱性を悪用した攻撃のイメージ
図:脆弱性を悪用した攻撃のイメージ

影響を受けるバージョン

  • Apache Struts 2.3.20 から 2.3.28
    2.3.20.3 および 2.3.24.3 を除く)

Apache Struts 1 への影響は現在のところ不明です。

Apache Struts 2 系のバージョンの確認方法例

2.x.x.x の部分が、利用している Struts 2 のバージョンです。

Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。

対策

脆弱性の解消 - アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

Download a Release of Apache Struts
http://struts.apache.org/download.cgi

脆弱性の回避策 - DMI 機能を無効にする

DMI(Dynamic Method Invocation)機能を無効にすることで本脆弱性を回避することができます。

参考情報

更新履歴

2016年5月6日 概要と参考情報の更新
2016年4月27日 影響を受けるバージョンを修正
2016年4月27日 掲載