IPA(情報処理推進機構)は4月28日、Apache Strutsの脆弱性の対策に関する情報を公開した。Apache Struts 2.0.0 から 2.3.16.1およびApache Struts 1系の利用者に対し、最新版のApache Struts 2.3.16.2にアップデートするよう促している。
Apache Struts 2には、ClassLoaderを操作される脆弱性(CVE-2014-0094およびCVE-2014-0112、CVE-2014-0113)が存在し、この脆弱性を悪用された場合、Webアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびWebアプリケーションを一時的に使用不可にされてしまうことが判明していた。
4月25日(米国時間)、Apache Software Foundation から、CVE-2014-0112/CVE-2014-0113の脆弱性の対策をしたApache Struts 2.3.16.2が公開された。
「Apache Struts 2.3.16.2のダウンロードサイト(the Heartbleed bug)」
設定変更による回避策は2つある。params インターセプターへの参照を独自に記述している場合はexcludeParams を適切に設定し、また、defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する。