【注意喚起】Apache Strutsの脆弱性 (S2-052) について

「Apache Struts」の脆弱性について注意喚起がありましたので、お知らせいたします。
※Apache Strutsは、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。

【対象】 本情報は"システム担当者向け"情報になります。
所管のシステムでApache Strutsを使用しているか、構築業者又は保守運用業者へ確認をお願いいたします。

●概要

• Apache Struts 2 を使用するアプリケーション (Struts アプリケーション) を実行しているサーバにおいて、任意のコードを実行される脆弱性が存在します。
• 本脆弱性を修正したバージョンが公開されています。

[対象製品とバージョン]

• Apache Struts 2.5 から 2.5.12 まで

なお、JPCERT/CC の検証環境では、Apache Struts 2.3.33 でも本脆弱性の実証コードが動作し、
影響を受けることを確認しています。

●脅威

• 本脆弱性の実証コードが公開されております。
• 本脆弱性を狙った攻撃が成功した場合、第三者の遠隔操作によって、サーバが異常終了したり、サーバが乗っ取られる可能性が高まります。

●対処方法
利用している場合は、十分なテストを実施の上、修正済みバージョン(Apache Struts 2.5.13)を適用することを強くお勧めします。

[参考] Download a Release of Apache Struts
対策が施された修正済みのバージョンが公開されています。
https://struts.apache.org/download.cgi#struts2513(外部リンク)