-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0046
                                                             JPCERT/CC
                                                      2020-12-09(新規)
                                                      2020-12-21(更新)

                  <<< JPCERT/CC Alert 2020-12-09 >>>

         Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200046.html

I. 概要
Apache Software Foundation は、2020年12月8日 (米国時間) に Apache Struts 2
の脆弱性 (CVE-2020-17530) に関する情報 (S2-061) を公開しました。本脆弱
性は入力値の検証不備に起因しており、悪用されると Apache Struts 2 が動
作するサーバーにおいて、遠隔の第三者が任意のコードを実行する可能性があ
ります。

    Apache Struts 2 Documentation
    Security Bulletins S2-061
    https://cwiki.apache.org/confluence/display/WW/S2-061

Apache Software Foundation は本脆弱性の深刻度を「Important」と評価して
います。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用してい
る場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。

** 更新: 2020年12月21日 **********************************************
JPCERT/CC では、本脆弱性を悪用した攻撃活動が観測されたとの情報を確認し
ています。本脆弱性を修正したバージョンを未適用の方は、早急なバージョン
アップを推奨します。
**********************************************************************

II. 対象
本脆弱性の影響を受けるバージョンは次のとおりです。

  Apache Struts 2
  - 2.0.0 から 2.5.25 まで


III. 対策
Apache Software Foundation より、下記の本脆弱性を修正したバージョンが公開さ
れています。十分なテストを実施の上、修正済みバージョンの運用をご検討くだ
さい。

  Apache Struts 2 
  - 2.5.26

詳細は、Apache Software Foundation からの更新情報を参照してください。

    Apache Struts 2 Documentation
    Version Notes 2.5.26
    https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26


IV. 参考情報
    Apache Software Foundation
    08 December 2020 - Potential RCE when using forced evaluation - CVE-2020-17530
    https://struts.apache.org/announce#a20201208


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

________
改訂履歴
2020-12-09 初版
2020-12-21 「I. 概要」の更新

======================================================================
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp

-----BEGIN PGP SIGNATURE-----
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=cd4v
-----END PGP SIGNATURE-----