-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2022-0011
                                                             JPCERT/CC
                                                            2022-04-13

                  <<< JPCERT/CC Alert 2022-04-13 >>>

         Apache Struts 2の脆弱性（S2-062）に関する注意喚起

            https://www.jpcert.or.jp/at/2022/at220011.html


I. 概要
2022年4月12日（米国時間）、Apache Software FoundationはApache Struts 2
の脆弱性（CVE-2021-31805）に関する情報（S2-062）を公開しました。本脆弱
性は、2020年12月8日（米国時間）に情報が公開（S2-061）された
Apache Struts 2の脆弱性（CVE-2020-17530）の修正が不十分であったことに
起因します。本脆弱性が悪用されるとApache Struts 2が動作するサーバーに
おいて、遠隔の第三者が任意のコードを実行する可能性があります。

    Apache Struts 2 Documentation
    Security Bulletins S2-062
    https://cwiki.apache.org/confluence/display/WW/S2-062

Apache Software Foundationは本脆弱性の深刻度を「Important」と評価して
います。脆弱性の影響を受けるバージョンのApache Struts 2を使用している
場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。


II. 対象
本脆弱性の影響を受けるバージョンは次のとおりです。

  Apache Struts 2
  - 2.0.0から2.5.29まで


III. 対策
Apache Software Foundationより、下記の本脆弱性を修正したバージョンが公
開されています。十分なテストを実施の上、修正済みバージョンの運用をご検
討ください。

  Apache Struts 2
  - 2.5.30

詳細は、Apache Software Foundationからの更新情報を参照してください。

    Apache Struts 2 Documentation
    Version Notes 2.5.30
    https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30


IV. 参考情報
    Apache Software Foundation
    04 April 2022 - Struts 2.5.30 General Availability
    https://struts.apache.org/announce-2022#a20220404

    Japan Vulnerability Notes JVNVU#96910606
    Apache Struts 2において任意のコードを実行される脆弱性（S2-062）
    https://jvn.jp/vu/JVNVU96910606/

    Apache Struts 2 Documentation
    Security Bulletins S2-061
    https://cwiki.apache.org/confluence/display/WW/S2-061


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=OMyi
-----END PGP SIGNATURE-----