HOME情報セキュリティ更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)

本文を印刷する

情報セキュリティ

更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)

最終更新日:2017年3月21日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、「Jakarta Multipart parser」のファイルアップロード処理に起因する、リモートで任意のコードが実行される脆弱性(CVE-2017-5638)が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

本脆弱性を悪用する攻撃コードおよび攻撃コードを用いたと思われる通信や被害が発生したとの情報が確認されていますので、対策済みのバージョンへのアップデートや回避策を至急実施してください。

---2017/3/21 更新---
開発者によると、「S2-045」と同様の脆弱性が別の箇所にも存在していたとのことです。
「S2-046」の 影響を受けるバージョン、対策方法は「S2-045」と同様で、すでに「S2-045」の対策バージョンを使用していれば影響はありません。アップデートを適用していない場合には、開発者が提供する情報をもとに大至急、最新バージョンへアップデートをしてください。


脆弱性を悪用した攻撃のイメージ
図:脆弱性を悪用した攻撃のイメージ

影響を受けるバージョン

  • Apache Struts 2.3.5 から 2.3.31
  • Apache Struts 2.5 から 2.5.10

Apache Struts 1 への影響は現在のところ不明です。

Apache Struts 2 系のバージョンの確認方法例

Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。
※ 2.x.x.x の部分が、利用している Struts 2 のバージョンです。

対策

脆弱性の解消 - アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

Download a Release of Apache Struts
http://struts.apache.org/download.cgi#struts25101

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2017年3月21日 「S2-046」に関する情報を追記
2017年3月10日 本件に関するお問い合わせ先、参考情報:更新
2017年3月10日 参考情報:リンク情報の更新
2017年3月9日 対策、参考情報:リンク情報の更新
2017年3月8日 掲載