(重要) Apache Struts – ClassLoader が操作可能な脆弱性

サーバーソフト 脆弱性

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。


【影響を受けるシステム】

Apache Software Foundation

  • Apache Struts 2.0.0 から 2.3.16.1 まで

ミラクル・リナックス

  • Asianux Server 3 for x86(32bit)
  • Asianux Server 3 for x86_64(64bit)

富士通

  • FUJITSU Integrated System HA Database Ready
  • Interstage Business Analytics Modeling Server
  • Interstage Business Process Manager Analytics
  • Interstage Mobile Manager
  • Interstage eXtreme Transaction Processing Server
  • Interstage Application Development Cycle Manager
  • Interstage Application Framework Suite
  • Interstage Application Server
  • Interstage Apworks
  • Interstage Business Application Server
  • Interstage Job Workload Server
  • Interstage Service Integrator
  • Interstage Studio
  • ServerView Resource Orchestrator
  • Symfoware Analytics Server
  • Symfoware Server
  • Systemwalker Service Catalog Manager
  • Systemwalker Service Quality Coordinator
  • Systemwalker Software Configuration Manager
  • TRIOLE クラウドミドルセット Bセット
  • クラウド インフラ マネージメント ソフトウェア

既にサポートが終了している Apache Struts 1系も類似の脆弱性の存在が報告されています。


【想定される影響】

Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。


【対策方法】

2014年4月25日、本脆弱性を修正した Apache Struts 2.3.16.2 が公開されました。
開発者が提供する情報をもとに、 Apache Struts 2.3.16.2 にアップグレードしてください。

[ワークアラウンドを実施する]
Apache Struts 2.3.16.2 へのアップグレードが行えない場合、本脆弱性の影響を軽減することができる以下の回避策を適用してください。

* params インターセプターへの参照を独自に記述している場合、excludeParams を適切に設定する
* defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する