Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
最終更新: 2017-09-07
各位
JPCERT-AT-2017-0033
JPCERT/CC
2017-09-06(新規)
2017-09-07(更新)
<<< JPCERT/CC Alert 2017-09-06 >>>
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170033.html
I. 概要
Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性
(CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Plugin
を用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理
することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行
される可能性があります。
脆弱性の詳細は、Apache Software Foundation からの情報を参照してくださ
い。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されてい
ます。
Apache Struts 2 Documentation
S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://struts.apache.org/docs/s2-052.html
Apache Software Foundation は本脆弱性の深刻度を「Critical」と評価して
います。Apache Software Foundation からは、本脆弱性に対する有効な回避
策はなく、Struts REST Plugin を削除するか、XML によるリクエストを受け
付けないように制限をすることが説明されています。脆弱性の影響を受ける
バージョンの Apache Struts 2 を使用している場合には、「III. 対策」を
参考に早期の対応を行うことを強く推奨します。
II. 対象
次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。
- Apache Struts 2
- 2.5 系列 2.5.13 より前のバージョン
** 更新: 2017年 9月 6日追記*******************************************
2017年9月6日、Apache Software Foundation から、本脆弱性の影響の範囲の
修正が示されています。修正内容によれば、次のバージョンの Apache Struts 2
が本脆弱性の影響を受けるとのことです。
- Apache Struts 2 2.1.2 から 2.3.33 までのバージョン、および 2.5 から 2.5.12 までのバージョン
詳細は、Apache Software Foundation の情報を参照してください。
Apache Software Foundation
S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://cwiki.apache.org/confluence/display/WW/S2-052
**********************************************************************
III. 対策
Apache Software Foundation からは、本脆弱性について修正したバージョンの
Apache Struts 2 が公開されています。修正済みのバージョンに更新すること
をご検討ください。
- Apache Struts 2
- 2.5 系列 2.5.13
なお、Apache Software Foundation によると、上記のバージョンには、次の
脆弱性の修正も含まれるとのことです。
- S2-050 (深刻度「Low」)
- 2.3 系列 2.3.7 から 2.3.33 までのバージョン
- 2.5 系列 2.5.13 より前のバージョン
- S2-051 (深刻度「Medium」)
- 2.3 系列 2.3.7 から 2.3.33 までのバージョン
- 2.5 系列 2.5.13 より前のバージョン
詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation
Version Notes 2.5.13
https://struts.apache.org/docs/version-notes-2513.html
** 更新: 2017年 9月 6日追記*******************************************
2017年9月6日、Apache Software Foundation は、本脆弱性の影響の範囲を修
正し、修正済みのバージョンについて言及しています。
- Apache Struts 2
- 2.3 系列 2.3.34
ただし、2017年9月6日現在において、JPCERT/CC では、2.3 系列の公開版
パッケージへのリンクは確認できていません。該当するバージョンの Apache Struts 2
を使用している場合には、Apache Software Foundation からの情報に引き続き
注意してください。
Apache Software Foundation
Version Notes 2.3.34
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.34
**********************************************************************
** 更新: 2017年 9月 7日追記*******************************************
2017年9月7日、Apache Software Foundation は、本脆弱性について修正した
バージョン Apache Struts 2.3.34 を公開しました。2.3 系列を使用している
場合には、修正済みのバージョンに更新することをご検討ください。
詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation
Version Notes 2.3.34
https://struts.apache.org/docs/version-notes-2334.html
**********************************************************************
IV. 参考情報
Apache Struts 2 Documentation
S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://struts.apache.org/docs/s2-052.html
Apache Struts 2 Documentation
REST Plugin
https://struts.apache.org/docs/rest-plugin.html
Apache Struts 2 Documentation
S2-050 : A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)
https://struts.apache.org/docs/s2-050.html
Apache Struts 2 Documentation
S2-051 : A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin
https://struts.apache.org/docs/s2-051.html
** 更新: 2017年 9月 6日追記*******************************************
JVNVU#92761484
Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
https://jvn.jp/vu/JVNVU92761484/
**********************************************************************
今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。
________
改訂履歴
2017-09-06 初版
2017-09-06 「I. 概要」のCVE番号を修正、「II. 対象」、「III. 対策」、
「IV. 参考情報」を追記
2017-09-07 「III. 対策」を追記
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ