JavaでWebアプリケーションを開発するためのオープンソースフレームワーク「Apache Struts 2」に深刻な脆弱性が発見され、Apache Software Foundationが更新版を公開して対処した。Strutsの脆弱性は過去に重大な事案を引き起こしたこともあり、直ちに対応する必要がある。

Apache Software Foundationのセキュリティ情報によると、リモートでコードを実行される恐れのある脆弱性が、「Struts 2.3.34」と「Struts 2.5.16」で確認された。危険度は最も高い「Critical」に分類。サポート対象外のバージョンも影響を受ける可能性がある。この脆弱性を修正する更新版として、「Struts 2.3.35」「Struts 2.5.17」が公開された。

Apache Software Foundationのセキュリティ情報

今回の問題を発見したセキュリティ企業Semmleでは、「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」と指摘し、Strutsを使っている組織や開発者に対し、Strutsコンポーネントを直ちに更新するよう強く勧告している。

Semmleによれば、この脆弱性はApache Strutsの中核に存在していて、Strutsを使っている全てのアプリケーションが潜在的な影響を受ける。リモートコード実行の脆弱性を突いて社内ネットワークに侵入されれば、インフラとデータの両方に危険が及ぶ。

実際、2017年に米信用情報機関大手のEquifaxから大量の個人情報が流出した事件は、Strutsの脆弱性放置が原因だったことが分かっている。

Strutsは一般向けのWebサイトに使われていることから、攻撃者にとっては脆弱性のあるシステムを見つけやすく、悪用も簡単だといい、「影響を受けるシステムは直ちにアップデートすることが決定的に重要。対応が遅れれば無責任なリスクを冒す」とSemmleは警告している。

関連キーワード Struts | 脆弱性 | Apache



Copyright © ITmedia, Inc. All Rights Reserved.