JPCERT-AT-2020-0034
JPCERT/CC
2020-08-14
Apache Struts 2 Documentation
Security Bulletins S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059
Apache Struts 2 Documentation
Security Bulletins S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060
脆弱性 CVE-2019-0230 は、第三者が細工したリクエストを送信することで、任意のコードが実行される可能性があります。脆弱性 CVE-2019-0233 は、ファイルをアップロードする際に第三者がリクエストを不正に操作することで、サービス運用妨害 (DoS) が引き起こされる可能性があります。
Apache Software Foundation は、CVE-2019-0230 の深刻度を「Important」、CVE-2019-0233 の深刻度を「Medium」と評価しています。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。
Apache Struts 2
- 2.5 系列 2.5.20 およびそれ以前のバージョン
開発者によると、次の点が指摘されています。
- 2019年11月に公開された 2.5.22 は本影響を受けない
- 既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける
Apache Struts 2
- 2.5 系列 2.5.22 以降のバージョン
詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation
Version Notes 2.5.22
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22
The Apache Software Foundation
Security Advice: Announcing CVE-2019-0230 (Possible RCE) and CVE-2019-0233 (DoS) security issues
https://struts.apache.org/announce#a20200813
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT/CC
2020-08-14
I. 概要
Apache Software Foundation は、2020年8月13日に Apache Struts 2 の脆弱性 (CVE-2019-0230、CVE-2019-0233) に関する情報 (S2-059、S2-060) を公開しました。本脆弱性が悪用されると、Apache Struts 2 が動作するサーバーにおいて、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害(DoS) が引き起こされたりする可能性があります。Apache Struts 2 Documentation
Security Bulletins S2-059
https://cwiki.apache.org/confluence/display/WW/S2-059
Apache Struts 2 Documentation
Security Bulletins S2-060
https://cwiki.apache.org/confluence/display/WW/S2-060
脆弱性 CVE-2019-0230 は、第三者が細工したリクエストを送信することで、任意のコードが実行される可能性があります。脆弱性 CVE-2019-0233 は、ファイルをアップロードする際に第三者がリクエストを不正に操作することで、サービス運用妨害 (DoS) が引き起こされる可能性があります。
Apache Software Foundation は、CVE-2019-0230 の深刻度を「Important」、CVE-2019-0233 の深刻度を「Medium」と評価しています。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。
II. 対象
次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。Apache Struts 2
- 2.5 系列 2.5.20 およびそれ以前のバージョン
開発者によると、次の点が指摘されています。
- 2019年11月に公開された 2.5.22 は本影響を受けない
- 既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける
III. 対策
Apache Software Foundation より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。Apache Struts 2
- 2.5 系列 2.5.22 以降のバージョン
詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation
Version Notes 2.5.22
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22
IV. 参考情報
The Apache Software Foundation
Security Advice: Announcing CVE-2019-0230 (Possible RCE) and CVE-2019-0233 (DoS) security issues
https://struts.apache.org/announce#a20200813
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp