Apache Strutsの脆弱性について

概要

Webサーバ上にて情報を公開する際に利用されているApache Strutsに脆弱性(CVE-2014-0094)が見つかりました。

攻撃者がサーバへ特殊な通信を送信すると、サーバ上にて意図していないコマンドが実行され、情報の漏洩などの不具合が発生する恐れがあります。

対応方法を以下に掲載致しますので、必要に応じて対応をお願い致します。

弊社機器の対応状況

NetStableにてこの脆弱性を攻撃する通信を検出するシグネチャを作成致しました。

本シグネチャは、5月8日(木)に自動更新を実施致します。
それまでの間、対応が必要なお客様は以下の作業手順とシグネチャファイルを参照して頂き、手動にて適用していただきますようお願い致します。

シグネチャ手動適用マニュアル
http://www.mcsecurity.co.jp/?page_id=1352
シグネチャファイル
http://mcsecurity.co.jp/download/sig/sig_v128_struts.sig

サーバ管理者の対応

サーバ管理者の方は、以下の対応を行う必要があります。

NetStableにシグネチャを適用した場合、この脆弱性を攻撃する通信を遮断することができます。

また、管理するサーバ上において、以下の対応を行ってください。

    Struts 1を使用している場合

  • パラメータに対してのフィルタを実装する
  • BeansUtilsを使用している場合は、BeansUtilのバージョンアップ、設定変更を行う
  • Struts1はメーカーサポートが終了しているため、他システムへの移行を検討する

    Struts 2を使用している場合

  • パラメータに対してのフィルタを実装する
  • 本脆弱性が修正された更新版2.6.16.2が公開されているので、アップデートを行う

詳細については、以下のIPAのページ等を参考にしてください。

更新:Apache Struts2 の脆弱性対策について

https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html