JPCERT/CCは3月28日、Apache Software FoundationからApache Struts 2 の脆弱性(S2-056 / CVE-2018-1327)に関する情報が公開されたと伝えた。この脆弱性を悪用されると、サービス運用妨害(DoS)攻撃を受けるおそれがある。

  • Apache Struts 2 Documentation Security Bulletins S2-056

具体的には、Struts REST Plugin が使うXStream ライブラリの処理に脆弱性があり、遠隔の第三者が、脆弱性を悪用するよう細工した XML リクエストを処理させることで、Apache Struts 2 使用するアプリケーション (Struts アプリケーション) を実行しているサーバに対し、サービス運用妨害(DoS)攻撃を実行できる可能性があるという。

脆弱性が存在するバージョンはStruts 2.1.1 から 2.5.14.1で、対策として、脆弱性を修正したバージョン(Struts 2.5.16)にアップデートする必要がある。

同日時点で、JPCERT/CCに、同脆弱性を実証するコードやサイバー攻撃の発生に関する情報は受け取っていないとしている。

なお、Apache Software Foundationは、回避策として、XStream ハンドラの代わりに Jackson XML ハンドラを用いることで、同脆弱性の影響を低減することができることを公開しているという。