JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月14日、「Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起」において、Apache Software FoundationがApache Struts 2の脆弱性に関する情報を公開したと伝えた。これらの脆弱性を悪用されると、攻撃者によってリモートで任意のコードを実行されたり、サービス拒否妨害(DoS)が引き起こされたりする危険性がある。
2件の脆弱性に関する情報はそれぞれ次のページにまとめられている。
- S2-059 - Apache Struts 2 Wiki - Apache Software Foundation
- S2-060 - Apache Struts 2 Wiki - Apache Software Foundation
S2-059 (CVE-2019-0230) は、Strutsタグ属性内でOGNL(Object Graph Navigation Language)式を使用している場合に、攻撃者が悪意を持ってリクエストを作成することでリモートコード実行につながる可能性があるというもの。S2-060 (CVE-2019-0233) は、ファイルをアップロードする際にリクエストを不正に操作して、アップロードされたファイルの作業コピーを読み取り専用に設定できるというもの。悪用されるとファイルに対する後続のアクションでエラーが発生し、サービス拒否状態を作り出す原因となる。
これらの脆弱性の影響を受けるバージョンは次のとおり。 2019年11月に公開された 2.5.22 は影響を受けず、 既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは影響を受けるという。
- Apache Struts 2.0.0から2.5.20
いずれの脆弱性も、2019年11月に公開されたApache Struts 2.5.22にアップデートすることで回避できる。
脆弱性の深刻度は、S2-059が「重要(Important)」、S2-060が「中(Medium)」と評価されている。JPCERT/CCは、上記のセキュリティ情報を参考にして、早期に必要な対策を行うことを推奨している。