情報セキュリティ
最終更新日:2024年8月16日
独立行政法人情報処理推進機構
セキュリティセンター
本ページは、「Apache Struts(脚注1)」の脆弱性対策情報をまとめたものです。
「Apache Struts」はウェブアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されています。日本国内ではウェブサイト構築に大変多く利用されており、その結果、「Apache Struts」で構築されたウェブサイトは相当数存在すると考えられます。
ウェブサイトはインターネット上に一旦公開すると24時間365日いつでもどこからでもアクセスが可能です。
そのため、ウェブサイトに脆弱性が存在した場合、それを放置すると、情報漏えい等の被害を受けるおそれもあります。こうした事態を避けるため、ASFより「Apache Struts」の修正パッチが公開された際には、速やかに修正パッチを適用する必要があります。
なお、本ページの対象とするのは「Apache Struts 2」 です。「Apache Struts 1」は既に2013年4月5日を以ってサポートを終了しているため対象としておりません。
ウェブサイトを構築するシステム構築事業者(以降、SIer)の活用を想定しています。構築した、あるいは運用保守中のシステムで「Apache Struts」を使用している場合は、該当の脆弱性対策情報の有無を下記の一覧から確認し、必要に応じてアップデートするなどの対処を行ってください。
「Apache Struts」の脆弱性は、基本的に修正パッチを適用しアップデートしないと解消しません。システムが問題なく動作することを事前にテストなど確認した上で、アップデートを実施してください。
「Apache Struts」には、複数の部品のようなソフトウェア製品(ライブラリ)が組み込まれています。このようなソフトウェア製品においても脆弱性は存在し、「Apache Struts」で構築されたウェブサイトにもその影響が及ぶおそれがあります(脚注2)。
そのため、どのようなライブラリを使用しているのか、把握、管理のためリストの作成が重要です。
なお、使用しているライブラリの脆弱性対策情報の有無はJVN iPedia(脚注3)等で確認することができます。
下記の脆弱性対策情報一覧は、「Apache Struts 2」が対象で、ASFが公開する情報(脚注4)を元に作成しています。
表中の「影響を受けるバージョン」のStrutsを使用している場合は、速やかにアップデートを実施してください。なお、「脆弱性悪用」は国内で悪用が確認されたと報道されたものをマークしています。必ずしも全ての攻撃が網羅されているわけではありませんし、国内での報道がなくても海外で攻撃されている場合もあります。
2.0.0 - 2.3.16.3
有
2.3.20 - 2.3.28 (2.3.20.3 および 2.3.24.3 を除く)
有
2.3.5 - 2.3.31
2.5 - 2.5.10
—
—
2.3 - 2.3.34
2.5 - 2.5.16
サポートされていないバージョンも影響を受けるおそれがあります。
有
—
IPA セキュリティセンター
2024年8月16日
「3. 対策:アップデート」の最新バージョン情報を最新のダウンロードバージョンに更新
2024年4月22日
「3. 対策:アップデート」の最新バージョン情報を更新
2023年12月8日
「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-066)
「3. 対策:アップデート」の最新バージョン情報を更新
2023年9月14日
「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-065)
「3. 対策:アップデート」の最新バージョン情報を更新
2023年8月31日
「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-063)
「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-064)
「3. 対策:アップデート」の最新バージョン情報を更新
2022年4月13日
「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-062)
2020年12月9日
「4. 脆弱性対策情報一覧」の脆弱性対策情報一覧に追加(S2-061)
2020年12月8日
「3. 対策:アップデート」の最新バージョン情報を更新
2020年9月29日
「3. 対策:アップデート」の最新バージョン情報を更新
2020年8月14日