各位
Apache Struts の脆弱性 (S2-016) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130033.html
I. 概要
Apache Software Foundation が提供している Apache Struts には脆弱性が存在します。すでに、この脆弱性の実証コードが公開されており、JPCERT/CCにて実証コードを用いて検証した結果、Apache Struts アプリケーションを実行しているアプリケーションサーバの実行権限で任意の OS コマンドが実行されることを確認しました。脆弱性の詳細については、Apache SoftwareFoundation の情報を確認してください。
また、株式会社ラックの情報によると国内の Web サイトに対して、本脆弱性を使用した攻撃が急増しているとのことです。
II. 想定される攻撃シナリオ
想定される攻撃シナリオは以下の通りです。
1. 攻撃者は、細工した HTTP リクエストを攻撃対象サイトに送ります
2. 脆弱性が使用され、任意の OS コマンドが実行されます
III. 対象
以下のバージョンが脆弱性の影響を受けます。
Apache Struts 2.0.0 から 2.3.15
IV. JPCERT/CC による検証結果
JPCERT/CC では、本脆弱性を使用する実証コードについて検証を行いました。
[検証環境]
- アプリケーションサーバ
Apache Tomcat 7.0.42
- Java
JDK 1.7.0_25
- 攻撃対象アプリケーション
Apache Struts 2.3.15 を使用するサンプルアプリケーション
(struts2-blank.war)
[検証結果]
Apache Struts 2.3.15 を使用するサンプルアプリケーションを Apache
Tomcat 上に配備し、それに対して細工したリクエストを送ることで、
任意の OS コマンドが実行されることを確認しました。また、本脆弱性を
修正した Apache Struts 2.3.15.1 を使用するサンプルアプリケーション
では、任意の OS コマンドが実行されないことを確認しました。
V. 対策
Apache Software Foundation より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを強くお勧めします。
- Apache Struts 2.3.15.1
修正済みバージョンの適用に時間がかかる場合は、IPS 等のセキュリティ製品でシステムが本脆弱性に対して保護されているかご確認ください。
VI. 参考情報
Apache Struts 2 Documentation
Version Notes 2.3.15.1
http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html
Apache Struts 2 Documentation
S2-016
http://struts.apache.org/release/2.3.x/docs/s2-016.html
株式会社ラック
Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について
http://www.lac.co.jp/security/alert/2013/07/18_alert_01.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2013-0033
JPCERT/CC
2013-07-19
JPCERT/CC Alert 2013-07-19
Apache Struts の脆弱性 (S2-016) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130033.html
I. 概要
Apache Software Foundation が提供している Apache Struts には脆弱性が存在します。すでに、この脆弱性の実証コードが公開されており、JPCERT/CCにて実証コードを用いて検証した結果、Apache Struts アプリケーションを実行しているアプリケーションサーバの実行権限で任意の OS コマンドが実行されることを確認しました。脆弱性の詳細については、Apache SoftwareFoundation の情報を確認してください。
また、株式会社ラックの情報によると国内の Web サイトに対して、本脆弱性を使用した攻撃が急増しているとのことです。
II. 想定される攻撃シナリオ
想定される攻撃シナリオは以下の通りです。
1. 攻撃者は、細工した HTTP リクエストを攻撃対象サイトに送ります
2. 脆弱性が使用され、任意の OS コマンドが実行されます
III. 対象
以下のバージョンが脆弱性の影響を受けます。
Apache Struts 2.0.0 から 2.3.15
IV. JPCERT/CC による検証結果
JPCERT/CC では、本脆弱性を使用する実証コードについて検証を行いました。
[検証環境]
- アプリケーションサーバ
Apache Tomcat 7.0.42
- Java
JDK 1.7.0_25
- 攻撃対象アプリケーション
Apache Struts 2.3.15 を使用するサンプルアプリケーション
(struts2-blank.war)
[検証結果]
Apache Struts 2.3.15 を使用するサンプルアプリケーションを Apache
Tomcat 上に配備し、それに対して細工したリクエストを送ることで、
任意の OS コマンドが実行されることを確認しました。また、本脆弱性を
修正した Apache Struts 2.3.15.1 を使用するサンプルアプリケーション
では、任意の OS コマンドが実行されないことを確認しました。
V. 対策
Apache Software Foundation より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを強くお勧めします。
- Apache Struts 2.3.15.1
修正済みバージョンの適用に時間がかかる場合は、IPS 等のセキュリティ製品でシステムが本脆弱性に対して保護されているかご確認ください。
VI. 参考情報
Apache Struts 2 Documentation
Version Notes 2.3.15.1
http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html
Apache Struts 2 Documentation
S2-016
http://struts.apache.org/release/2.3.x/docs/s2-016.html
株式会社ラック
Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について
http://www.lac.co.jp/security/alert/2013/07/18_alert_01.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
