JPCERT/CCは23日、Apache Struts 2の脆弱性(CVE-2018-11776)に関する情報(S2-057)がApache Software Foundationから公開されたことを受け、注意喚起を行った。
サーバサイドでWebアプリケーションを構築できるJavaフレームワークとして過去の利用実績も多いApache Struts 2だが、脆弱性の指摘が頻繁に行われており3月にはXMLリクエスト処理への細工でDoS攻撃が可能になる脆弱性(S2-056 / CVE-2018-1327)と修正バージョンも公開している。
今回新たに2.3 系列 2.3.35 より前のバージョンと2.5 系列 2.5.17 より前のバージョンにおいて、設定ファイルsruts.xmlでnamesepaceの値が指定されていない場合、ワイルドカードが指定されている場合、URLタグ記述にvalueかactionの値が指定されていない場合にリモート攻撃が行われる可能性のある脆弱性が報告されている。Apache Software Foundationでは、今回の影響を前回より高いCriticalに設定している。修正バージョンは2.3系の2.3.35、2.5系の2.5.17が公開されているほか、回避策としてnamespaceの指定、URLタグのvalueとactionの指定を挙げている。JPCERT/CCでは充分なテストを実施の上適用することを推奨、Webサイトでは各種情報へのリンクを掲載している。