S2-052: Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads |
Apache Strutsグループは9月5日(現地時間)、「05 September 2017 - Struts 2.5.13 General Availability」において、一般利用可能な高品質に到達したとしてApache Struts 2.5系の最新版「Apache Struts 2.5.13」を公開した。このバージョンには、以下の3つの脆弱性の修正が含まれている。脆弱性の1つは重大(クリティカル)な脆弱性と位置づけられており、ただちにこの最新版へアップグレードすることが推奨されている。
- S2-050: A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)
- S2-051: A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin
- S2-052: Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
情報処理推進機構(IPA)は9月6日、「情報セキュリティ|Apache Struts2 の脆弱性対策情報一覧」において、Apache Strutsは国内のWebサイトの相当数で使われていると推測されていること、脆弱性が修正されたバージョンが公開された場合にはただちに最新版へアップグレードすることなどを推奨している。
Apache Strutsには、複数のライブラリが組み込まれているが、これらにおいても脆弱性は存在し、Apache Strutsで構築されたWebサイトにもその影響が及ぶ可能性がある。そのため、IPAはStruts本体のバージョンアップに加えて、どのようなライブラリを使用しているのか、把握、管理のためリストの作成が重要と注意を呼び掛けている。