S2-052: Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads

Apache Strutsグループは9月5日(現地時間)、「05 September 2017 - Struts 2.5.13 General Availability」において、一般利用可能な高品質に到達したとしてApache Struts 2.5系の最新版「Apache Struts 2.5.13」を公開した。このバージョンには、以下の3つの脆弱性の修正が含まれている。脆弱性の1つは重大(クリティカル)な脆弱性と位置づけられており、ただちにこの最新版へアップグレードすることが推奨されている。

情報処理推進機構(IPA)は9月6日、「情報セキュリティ|Apache Struts2 の脆弱性対策情報一覧」において、Apache Strutsは国内のWebサイトの相当数で使われていると推測されていること、脆弱性が修正されたバージョンが公開された場合にはただちに最新版へアップグレードすることなどを推奨している。

Apache Strutsには、複数のライブラリが組み込まれているが、これらにおいても脆弱性は存在し、Apache Strutsで構築されたWebサイトにもその影響が及ぶ可能性がある。そのため、IPAはStruts本体のバージョンアップに加えて、どのようなライブラリを使用しているのか、把握、管理のためリストの作成が重要と注意を呼び掛けている。