「Apache Struts 2」において任意のコードが実行可能な脆弱性 (S2-061)(JVN#43969166)
ニュース
【概要】
The Apache Software Foundation が提供する「Apache Struts 2」は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。「Apache Struts 2」には、不適切な入力確認に起因する任意のコードが実行可能な脆弱性が存在します。
遠隔の第三者によって、任意のコードが実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に製品開発者が提供する情報をもとに、最新版へアップデートするか、ワークアラウンドを実施してください。
【本脆弱性の深刻度】
【対象】
次の製品が対象です。
- Apache Struts 2.0.0 から 2.5.25 まで
【対策】
アップデートする
- 開発者が提供する情報をもとに、最新版にアップデートしてください。
ワークアラウンドを実施する
- 次の回避策を適用することで、本脆弱性の影響を軽減できます。
- 信頼できない入力値を OGNL の評価に用いない
また、開発者は回避策適用に関し、Security Guide
を参照することを推奨しています。
【参考情報】
- 08 December 2020 - Potential RCE when using forced evaluation - CVE-2020-17530
https://struts.apache.org/announce#a20201208
- Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200046.html
- 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、IPA が届出を受け、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
https://www.ipa.go.jp/security/vuln/report/index.html
出典:独立行政法人情報処理推進機構(IPA)