IPA、「Apache Struts2」の脆弱性について注意喚起
2018年9月8日(土)
情報処理推進機構(IPA)は8月24日、Webアプリケーション作成ツール「Apache Struts2」に存在する脆弱性について注意喚起を発表した。
今回の脆弱性は、
・alwaysSelectFullNamespace を true に設定している
・Struts設定ファイルに、オプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する “action”タグまたは “url”タグが含まれている
以上の両者を満たす場合に、リモートで任意のコードが実行される危険がある。
なお、本脆弱性を悪用する攻撃コードが公開されており、実際にLinuxマシンに影響するクリプトジャッキング攻撃に悪用されている事例もあるという。対象となるのは、Apache Struts 2.3 系列 2.3.35 より前のバージョン、および2.5 系列 2.5.17 より前のバージョン(Apache Struts1にも同様の脆弱性が存在するがサポートが打ち切りとなっており利用は推奨されない)。ユーザは直ちに最新版にアップグレードすることが強く推奨される。
(川原 龍人/びぎねっと)
[関連リンク]
注意喚起本文
その他のニュース
- 2024/11/22 「Rocky Linux 9.5」リリース
- 2024/11/21 Arch Linuxのメニューベースのインストーラ「archinstall 3.0」リリース
- 2024/11/21 「LibreOffice 24.8.3 Community」リリース
- 2024/11/21 Fortinet、悪意のあるMicrosoft Excelドキュメントを利用したフィッシングキャンペーンについて注意喚起を発表
- 2024/11/19 「AlmaLinux OS 9.5」リリース
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
全文検索エンジンによるおすすめ記事
- ネットワークプロトコルアナライザ「Wireshark 3.0.7/2.6.13」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.2.2/3.0.9/2.6.15」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.4.6/3.2.14」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.0.4/2.6.11」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.4.2」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.2.1/3..0.8/2.6.14」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.2.7/3.0.14/2.6.20」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.4.7/3.2.15」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.4.1/2.2.9/2.0.15」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.6.2/2.4.8/2.2.16」リリース