Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱（ぜいじゃく）性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。

Apache Struts 2.5.13を公開し、脆弱性を修正

今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。

脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモートの攻撃者が任意のコードを実行できてしまう恐れがある。

Semmleではこの脆弱性を突くコードも開発したが、現時点で公開はしていない。9月5日現在、攻撃コードの公開は確認されていないものの、すぐにも出現する公算が大きいとしている。

Strutsを使って開発されたWebアプリケーションは、Fortune 100に名を連ねる大手企業の少なくとも65％で利用され、航空会社の予約システムや金融機関のインターネットバンキングアプリなど、一般向けの多数のWebアプリケーションにも使われているという。

「攻撃者はいとも簡単にこの脆弱性を悪用できる。必要なのはWebブラウザのみ」とSemmleの研究者は解説し、Strutsを使っている組織は直ちに対処するよう促した。

更新版のStruts 2.5.13では、他にもサービス妨害（DoS）の脆弱性など2件が修正されている。

Copyright © ITmedia, Inc. All Rights Reserved.