-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0034
                                                             JPCERT/CC
                                                            2020-08-14

                  <<< JPCERT/CC Alert 2020-08-14 >>>

     Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200034.html

I. 概要
Apache Software Foundation は、2020年8月13日に Apache Struts 2 の脆弱
性 (CVE-2019-0230、CVE-2019-0233) に関する情報 (S2-059、S2-060) を公開
しました。本脆弱性が悪用されると、Apache Struts 2 が動作するサーバーに
おいて、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害
(DoS) が引き起こされたりする可能性があります。

    Apache Struts 2 Documentation
    Security Bulletins S2-059
    https://cwiki.apache.org/confluence/display/WW/S2-059

    Apache Struts 2 Documentation
    Security Bulletins S2-060
    https://cwiki.apache.org/confluence/display/WW/S2-060

脆弱性 CVE-2019-0230 は、第三者が細工したリクエストを送信することで、
任意のコードが実行される可能性があります。
脆弱性 CVE-2019-0233 は、ファイルをアップロードする際に第三者がリクエ
ストを不正に操作することで、サービス運用妨害 (DoS) が引き起こされる可
能性があります。

Apache Software Foundation は、CVE-2019-0230 の深刻度を「Important」、
CVE-2019-0233 の深刻度を「Medium」と評価しています。
脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、
「III. 対策」を参考に早期の対応を行うことを推奨します。


II. 対象
次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

  Apache Struts 2
    - 2.5 系列    2.5.20 およびそれ以前のバージョン

開発者によると、次の点が指摘されています。
  - 2019年11月に公開された 2.5.22 は本影響を受けない
  - 既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系
のバージョンは本影響を受ける


III. 対策
Apache Software Foundation より、本脆弱性を修正したバージョンが公開さ
れています。十分なテストを実施の上、修正済みバージョンの適用をご検討く
ださい。

  Apache Struts 2
    - 2.5 系列    2.5.22 以降のバージョン

詳細は、Apache Software Foundation からの更新情報を参照してください。

    Apache Struts 2 Documentation
    Version Notes 2.5.22
    https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22


IV. 参考情報
    The Apache Software Foundation
    Security Advice: Announcing CVE-2019-0230 (Possible RCE) and CVE-2019-0233 (DoS) security issues
    https://struts.apache.org/announce#a20200813


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJfNiFXAAoJEKntH+qu5CT/g2MP/07OoYtWTup0OPPQT2ezp2GF
gPoTr28aMXFO9prPzOb/2oKfGJJ6vIQXjvJP8D39CNsLh2ys7CpB1gde7lLCD6/f
1aehJ7FnAEhaY/Luhp02ouZy65PkAD6S932MeMJzmkTLkPKm5iogTTGAKdAslM1H
whv/Dn+Wn3ewwcmy3CQ9iWNXBgQbCq8lvmjq/slpI9fWSR0PrUk8iEKVgThiHHSC
cyw3LrwcZzxBe/aBxSHCD++mCzBMLxZdocGgGPNbn+mtg5jdC40Aue2iCM35qGjf
l8Iz9wQBPrIP5aMMNU1IUYgjFqu6meJe4mtuBRUYODHL/oFlcI+fdwPSXGCujwAt
GhustVx4f0isbKIbvAc2HsgPCp25UifRlhKZUBGB9xPAIL3pNHFmbNimyTfWLeJT
e6Thx79g7mdlm6z1VgfELFUyPlTmQ2qxXUdf5i/4K7TxKTuanKueRQRWb6CRQ55O
t1QF/KjbvJCdlhUodVvPP8+PIu9dAvcuMSic15embU9qnbaHn4uSr3jIkDVGJ2mg
jEHXdxQ0mRMBCBTqKyHzPMoyqZR7Cpl0M3mz5768vKVqCbhH1+ET13ico+AKYvfw
c3ZbiB5yaCvnAdMXutCx2mYZy1WYS5p02xP8QAeuw1c+i4tD71QIz+n8ZvS5N3S/
ZRdTRGH2moXhZofCFHuA
=IfqP
-----END PGP SIGNATURE-----