【注意喚起】Apache Struts の脆弱性 について

Apache Struts の脆弱性について注意喚起です。

【対象】本情報は、Apache Strutsを利用しているシステム担当者向け情報になります。
既に本脆弱性を悪用する攻撃コードおよび攻撃コードを用いたと思われる通信や被害が発生したとの情報が確認されているようです。
Apache Strutsを使用しているか不明な場合は、構築業者又は保守運用業者にお問合せください。
利用している場合は、修正バージョンの適用等、適切な対応をお願いいたします。

---------------------------------------------------

●概要
Apache Software Foundation が提供する Apache Struts 2 を使用するアプリケーション (Struts アプリケーション) を実行しているサーバにおいて任意のコードが実行される脆弱性が存在します。

• 本脆弱性を修正したバージョンが公開されています。

※本脆弱性の影響を受ける製品とバージョンは以下のとおりです。

• Apache Struts 2.3.5 から 2.3.31 まで
• Apache Struts 2.5 から 2.5.10 まで

参考： http://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

●対応
Apache Software Foundation から、本脆弱性を修正したバージョンが公開されていますので、修正済みバージョンを適用してください。

●脅威

• 本脆弱性の実証コードが公開されており、特定のIPアドレスから、本脆弱性を狙った攻撃が観測されているとの情報もあります。
• 本脆弱性を狙った攻撃が成功した場合、第三者の遠隔操作によって、サーバが異常終了したり、サーバが乗っ取られる可能性が高まります。