-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2018-0036
                                                             JPCERT/CC
                                                            2018-08-23

                  <<< JPCERT/CC Alert 2018-08-23 >>>

          Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180036.html

I. 概要
Apache Software Foundation は、2018年8月22日に Apache Struts 2 の脆弱
性 (CVE-2018-11776) に関する情報 (S2-057) を公開しました。遠隔の攻撃者
が、細工した HTTP リクエストを送信することで、Apache Struts 2 が動作す
るサーバにおいて、任意のコードが実行する可能性があります。
脆弱性の詳細は、Apache Software Foundation からの情報を参照してくださ
い。

    Apache Struts 2 Documentation
    Security Bulletins S2-057
    https://cwiki.apache.org/confluence/display/WW/S2-057

本脆弱性は、Apache Struts 2 の処理に起因し、Struts の設定ファイル
(struts.xml など) で namespace の値が指定されていないか、ワイルドカー
ドが指定されている場合、あるいは、URL タグの記述において value か
action の値が指定されていない場合に、本脆弱性の影響を受けるとのことで
す。
Apache Software Foundation は本脆弱性の深刻度を「Critical」と評価して
います。

Apache Software Foundation は、本脆弱性に対する回避策として、Struts
の設定ファイルで namespace の値を指定し、URL タグの value と actionの
値を指定することを挙げていますが、可能な限り早くバージョンアップを行う
ことを推奨しています。脆弱性の影響を受けるバージョンの Apache Struts 2
を使用している場合には、「III. 対策」を参考に早期の対応を行うことを強
く推奨します。


II. 対象
次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

  - Apache Struts 2
    - 2.3 系列    2.3.35 より前のバージョン
    - 2.5 系列    2.5.17 より前のバージョン


III. 対策
Apache Software Foundation より、本脆弱性を修正したバージョンが公開さ
れています。十分なテストを実施の上、修正済みバージョンを適用することを
強くお勧めします。

  - Apache Struts 2
    - 2.3 系列    2.3.35
    - 2.5 系列    2.5.17

詳細は、Apache Software Foundation からの更新情報を参照してください。

    Apache Struts 2 Documentation
    Version Notes 2.5.17
    https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.17

    Apache Struts 2 Documentation
    Version Notes 2.3.35
    https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.35


IV. 参考情報
    Apache Struts 2 Documentation
    Security Bulletins S2-057
    https://cwiki.apache.org/confluence/display/WW/S2-057


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJbfiTuAAoJEDF9l6Rp7OBIACAIAJGXh7hjTljhIwsHbdjwI1p1
9WnVfV8sy8KT/35L7TFQnG4yqvrVQqSqy4vpB+q8PP/DC5elFTuHSu0Ga2p1j676
QSS4lcUxWtIlywVwnoIP9HIVw9gS/orSGBrL7yCeJupz3M+2q9E87BFAkbQwEvcv
STlf0MDtN9wsXjlNCk1jWIQTKHGcT2Y7mWRhhgq30iS4MeOJ+86Gp6iLO2ZOdZTA
sywr4j6atu3fIpgu3hDHyD80bQ+jZbQfnkpCFm3WST9jiV4HoOfzZbB17DbaOOQh
5lTlvRZbaSi3y/UERcGf3qerBH7hflETcrBTQeIEzOfY33CzmDAOxbYB4vPWs6I=
=0E8A
-----END PGP SIGNATURE-----