※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、DMI(Dynamic Method Invocation)機能に起因する脆弱性(CVE-2016-3081)が存在します。
本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートや回避策を至急実施してください。
5/6 更新
攻撃コードを用いたと思われる通信や被害が発生したとの情報があります。当該脆弱性に未対応の方は、大至急、対策済みのバージョンへのアップデートや回避策を実施してください。
図:脆弱性を悪用した攻撃のイメージ
影響を受けるバージョン
- Apache Struts 2.3.20 から 2.3.28
(2.3.20.3 および 2.3.24.3 を除く)
Apache Struts 1 への影響は現在のところ不明です。
Apache Struts 2 系のバージョンの確認方法例
2.x.x.x の部分が、利用している Struts 2 のバージョンです。Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。
対策
脆弱性の解消 - アップデートする
開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。
Download a Release of Apache Strutshttp://struts.apache.org/download.cgi
脆弱性の回避策 - DMI 機能を無効にする
DMI(Dynamic Method Invocation)機能を無効にすることで本脆弱性を回避することができます。
参考情報
- Security Bulletins S2-032
https://struts.apache.org/docs/s2-032.html - CVE-2016-3081
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081 - Apache Struts 2の脆弱性を標的としたアクセスの観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20160427.pdf - Apache Struts 2 DMIへの攻撃増加と、被害発生を確認しました
http://www.lac.co.jp/blog/category/security/20160428.html - Apache Struts2の脆弱性(CVE-2016-3081/S2-032)に対する攻撃を確認
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/struts2_cve-2016-3081?lang=ja - Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160020.html - Apache Struts 2の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2016-3081)(S2-032)に関する調査レポート
https://www.softbanktech.jp/information/2016/20160428-01/
更新履歴
| 2016年5月6日 | 概要と参考情報の更新 |
|---|---|
| 2016年4月27日 | 影響を受けるバージョンを修正 |
| 2016年4月27日 | 掲載 |
