JPCERT-AT-2020-0046
JPCERT/CC
2020-12-09(新規)
2020-12-21(更新)
Apache Struts 2 Documentation
Security Bulletins S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061
Apache Software Foundation は本脆弱性の深刻度を「Important」と評価しています。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。
Apache Struts 2
- 2.0.0 から 2.5.25 まで
Apache Struts 2
- 2.5.26
詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation
Version Notes 2.5.26
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26
Apache Software Foundation
08 December 2020 - Potential RCE when using forced evaluation - CVE-2020-17530
https://struts.apache.org/announce#a20201208
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
2020-12-21 「I. 概要」の更新
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT/CC
2020-12-09(新規)
2020-12-21(更新)
I. 概要
Apache Software Foundation は、2020年12月8日 (米国時間) に Apache Struts 2の脆弱性 (CVE-2020-17530) に関する情報 (S2-061) を公開しました。本脆弱性は入力値の検証不備に起因しており、悪用されると Apache Struts 2 が動作するサーバーにおいて、遠隔の第三者が任意のコードを実行する可能性があります。Apache Struts 2 Documentation
Security Bulletins S2-061
https://cwiki.apache.org/confluence/display/WW/S2-061
Apache Software Foundation は本脆弱性の深刻度を「Important」と評価しています。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。
更新: 2020年12月21日
JPCERT/CC では、本脆弱性を悪用した攻撃活動が観測されたとの情報を確認しています。本脆弱性を修正したバージョンを未適用の方は、早急なバージョンアップを推奨します。
II. 対象
本脆弱性の影響を受けるバージョンは次のとおりです。Apache Struts 2
- 2.0.0 から 2.5.25 まで
III. 対策
Apache Software Foundation より、下記の本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの運用をご検討ください。Apache Struts 2
- 2.5.26
詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation
Version Notes 2.5.26
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26
IV. 参考情報
Apache Software Foundation
08 December 2020 - Potential RCE when using forced evaluation - CVE-2020-17530
https://struts.apache.org/announce#a20201208
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
改訂履歴
2020-12-09 初版2020-12-21 「I. 概要」の更新
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp