-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0033 JPCERT/CC 2017-09-06(新規) 2017-09-07(更新) <<< JPCERT/CC Alert 2017-09-06 >>> Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170033.html I. 概要 Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性 (CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Plugin を用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理 することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行 される可能性があります。 脆弱性の詳細は、Apache Software Foundation からの情報を参照してくださ い。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されてい ます。 Apache Struts 2 Documentation S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads https://struts.apache.org/docs/s2-052.html Apache Software Foundation は本脆弱性の深刻度を「Critical」と評価して います。Apache Software Foundation からは、本脆弱性に対する有効な回避 策はなく、Struts REST Plugin を削除するか、XML によるリクエストを受け 付けないように制限をすることが説明されています。脆弱性の影響を受ける バージョンの Apache Struts 2 を使用している場合には、「III. 対策」を 参考に早期の対応を行うことを強く推奨します。 II. 対象 次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。 - Apache Struts 2 - 2.5 系列 2.5.13 より前のバージョン ** 更新: 2017年 9月 6日追記******************************************* 2017年9月6日、Apache Software Foundation から、本脆弱性の影響の範囲の 修正が示されています。修正内容によれば、次のバージョンの Apache Struts 2 が本脆弱性の影響を受けるとのことです。 - Apache Struts 2 2.1.2 から 2.3.33 までのバージョン、および 2.5 から 2.5.12 までのバージョン 詳細は、Apache Software Foundation の情報を参照してください。 Apache Software Foundation S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads https://cwiki.apache.org/confluence/display/WW/S2-052 ********************************************************************** III. 対策 Apache Software Foundation からは、本脆弱性について修正したバージョンの Apache Struts 2 が公開されています。修正済みのバージョンに更新すること をご検討ください。 - Apache Struts 2 - 2.5 系列 2.5.13 なお、Apache Software Foundation によると、上記のバージョンには、次の 脆弱性の修正も含まれるとのことです。 - S2-050 (深刻度「Low」) - 2.3 系列 2.3.7 から 2.3.33 までのバージョン - 2.5 系列 2.5.13 より前のバージョン - S2-051 (深刻度「Medium」) - 2.3 系列 2.3.7 から 2.3.33 までのバージョン - 2.5 系列 2.5.13 より前のバージョン 詳細は、Apache Software Foundation からの更新情報を参照してください。 Apache Struts 2 Documentation Version Notes 2.5.13 https://struts.apache.org/docs/version-notes-2513.html ** 更新: 2017年 9月 6日追記******************************************* 2017年9月6日、Apache Software Foundation は、本脆弱性の影響の範囲を修 正し、修正済みのバージョンについて言及しています。 - Apache Struts 2 - 2.3 系列 2.3.34 ただし、2017年9月6日現在において、JPCERT/CC では、2.3 系列の公開版 パッケージへのリンクは確認できていません。該当するバージョンの Apache Struts 2 を使用している場合には、Apache Software Foundation からの情報に引き続き 注意してください。 Apache Software Foundation Version Notes 2.3.34 https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.34 ********************************************************************** ** 更新: 2017年 9月 7日追記******************************************* 2017年9月7日、Apache Software Foundation は、本脆弱性について修正した バージョン Apache Struts 2.3.34 を公開しました。2.3 系列を使用している 場合には、修正済みのバージョンに更新することをご検討ください。 詳細は、Apache Software Foundation からの更新情報を参照してください。 Apache Struts 2 Documentation Version Notes 2.3.34 https://struts.apache.org/docs/version-notes-2334.html ********************************************************************** IV. 参考情報 Apache Struts 2 Documentation S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads https://struts.apache.org/docs/s2-052.html Apache Struts 2 Documentation REST Plugin https://struts.apache.org/docs/rest-plugin.html Apache Struts 2 Documentation S2-050 : A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047) https://struts.apache.org/docs/s2-050.html Apache Struts 2 Documentation S2-051 : A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin https://struts.apache.org/docs/s2-051.html ** 更新: 2017年 9月 6日追記******************************************* JVNVU#92761484 Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052) https://jvn.jp/vu/JVNVU92761484/ ********************************************************************** 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ________ 改訂履歴 2017-09-06 初版 2017-09-06 「I. 概要」のCVE番号を修正、「II. 対象」、「III. 対策」、 「IV. 参考情報」を追記 2017-09-07 「III. 対策」を追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZsPnoAAoJEDF9l6Rp7OBIPKoIAK4vs4AQQklUMT3czFE1dmF7 I1i2e/qgD5GDFd9NxplEwZzETrOzgmO0lAdBNtvcWmFs3IA63vPBQOanh2lS92bt XaBUa99drVcJkY4vc5I1W3dMdcOYTyVD1q5JIbTJo3MT+7nUwBbyzrHoPoaYNSlA sVBV4zRh+SrrDTO21S1sShJPdgfq1x2vASB5I6ouOmE+xzF9oHeMKGzkG/wTD0Ff PGxkpFNEGI7/9N8/hGkR1AyhphhX2LpItpWLJ88L1Qkhr+dUZ2SOwDmFQspyw2le ueoGrrtYiTzEs1oU3q+Zn8O+lMFAg8FFhmhSaosVLWsvruTaGS6+y/LBNHAsplE= =7OOU -----END PGP SIGNATURE-----