-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2013-0033
                                                             JPCERT/CC
                                                            2013-07-19

                  <<< JPCERT/CC Alert 2013-07-19 >>>

           Apache Struts の脆弱性 (S2-016) に関する注意喚起

            https://www.jpcert.or.jp/at/2013/at130033.html


I. 概要

  Apache Software Foundation が提供している Apache Struts には脆弱性が
存在します。すでに、この脆弱性の実証コードが公開されており、JPCERT/CC
にて実証コードを用いて検証した結果、Apache Struts アプリケーションを実
行しているアプリケーションサーバの実行権限で任意の OS コマンドが実行さ
れることを確認しました。脆弱性の詳細については、Apache Software
Foundation の情報を確認してください。

また、株式会社ラックの情報によると国内の Web サイトに対して、本脆弱性
を使用した攻撃が急増しているとのことです。


II. 想定される攻撃シナリオ

  想定される攻撃シナリオは以下の通りです。

  1. 攻撃者は、細工した HTTP リクエストを攻撃対象サイトに送ります
  2. 脆弱性が使用され、任意の OS コマンドが実行されます


III. 対象

  以下のバージョンが脆弱性の影響を受けます。

  Apache Struts 2.0.0 から 2.3.15


IV. JPCERT/CC による検証結果

  JPCERT/CC では、本脆弱性を使用する実証コードについて検証を行いました。

  [検証環境]
    - アプリケーションサーバ
      Apache Tomcat 7.0.42
    - Java
      JDK 1.7.0_25
    - 攻撃対象アプリケーション
      Apache Struts 2.3.15 を使用するサンプルアプリケーション
      (struts2-blank.war)

  [検証結果]
    Apache Struts 2.3.15 を使用するサンプルアプリケーションを Apache 
    Tomcat 上に配備し、それに対して細工したリクエストを送ることで、
    任意の OS コマンドが実行されることを確認しました。また、本脆弱性を
    修正した Apache Struts 2.3.15.1 を使用するサンプルアプリケーション
    では、任意の OS コマンドが実行されないことを確認しました。


V. 対策

  Apache Software Foundation より、本脆弱性を修正したバージョンが公開
されています。十分なテストを実施の上、修正済みバージョンを適用するこ
とを強くお勧めします。

  - Apache Struts 2.3.15.1

修正済みバージョンの適用に時間がかかる場合は、IPS 等のセキュリティ製
品でシステムが本脆弱性に対して保護されているかご確認ください。


VI. 参考情報

    Apache Struts 2 Documentation
    Version Notes 2.3.15.1
    http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html

    Apache Struts 2 Documentation
    S2-016
    http://struts.apache.org/release/2.3.x/docs/s2-016.html

    株式会社ラック
    Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について
    http://www.lac.co.jp/security/alert/2013/07/18_alert_01.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJR6OGiAAoJEDF9l6Rp7OBIZ4UH/j9pLiP1xUhTZMzKGVGKE8+8
kINMBapyC0DHcuQwMJ4yHcw8DAg3NL9CZ5L+BmCAM/DBmQRaM3qmAQqcweYXn+Vc
HOl2Tm+p/7AgSEL1vx7pPqTgWraNn0KPn2sM9xe67PbmjgF/qA16ET5DPi2yYEAd
kMYzv6lQCgRKgomoCkTAgWmgFyq9Zb+f+I07tTEHIZ949wOT4BQVFCgTNoAGdP4Y
Z/F5xz62mjfnTA3NL8j/EhNylT8g/lu6NrQ+9Lzv3CQAga29aP/CaysZySw0hLHx
3+oj1zjYWj3/XgRZK6ufBNTlv7jACtnijQdKqBeYQC1kfJUyIzvSHyUj+STpPzM=
=HPWO
-----END PGP SIGNATURE-----