Apache Struts 2 の脆弱性 (S2-056 / CVE-2018-1327) について
最終更新: 2018-03-28
2018年3月27日 (米国時間)、Apache Software Foundation から Apache Struts 2 の脆弱性 (S2-056 / CVE-2018-1327) についての情報が公開されました。
Apache Struts 2 Documentation
Security Bulletins S2-056
https://cwiki.apache.org/confluence/display/WW/S2-056
Struts REST Plugin が使う XStream ライブラリ の処理に脆弱性があり、遠隔の第三者が、脆弱性を悪用するよう細工した XML リクエストを処理させることで、Apache Struts 2 を使用するアプリケーション (Struts アプリケーション) を実行しているサーバに対して、サービス運用妨害 (DoS) 攻撃を実行できる可能性があります。
[脆弱性識別番号]
S2-056 / CVE-2018-1327
[重要度]
中(Medium)
[脆弱性が存在するバージョン]
Struts 2.1.1 から 2.5.14.1
[対策]
修正済みのバージョン (Struts 2.5.16) にアップデート
本記事の発行時点では、JPCERT/CCにて、本脆弱性を実証するコードやサイバー攻撃の発生に関する情報は受け取っていません。影響を受けるバージョンの Apache Struts 2 を使用している場合は、アップデートなど必要な対策を検討してください。
なお Apache Software Foundation によると、回避策として、XStream ハンドラの代わりに Jackson XML ハンドラを用いる事で本脆弱性の影響を低減することができることが言及されています。
今回の件について、提供いただける情報がありましたら、当グループまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ