WEB関連 TIPS

Java WEBアプリ開発「Apache Struts2(アパッチ・ストラッツ)」に重大な脆弱性

多少古い情報ではありますが参考までにご覧ください。

いらっしゃいませ。ぶんちょうです。たまにはこんな記事を書いてみたりする。

Java WEBアプリ開発環境 Apache Struts2 に重大な脆弱性【20140430更新

概要

情報処理推進機構(IPA)セキュリティセンターは2014年4月17日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、緊急対策を呼び掛けています。

Struts2攻撃イメージ(IPAより)

Struts2攻撃イメージ(IPAより)

細工されたリクエストをWebサーバに送りつけることでClassLoaderが不正に操作され、特定のファイルが悪用されたり、情報が流出したりする恐れがあります。さらに、特定のファイルが不正に操作されることによって任意のコードが実行される可能性もあります。

この脆弱性を悪用する攻撃コードは公開されており、IPAで再現検証をしたところ、Webアプリケーションの動作権限内で情報窃取や特定ファイルの操作、また、Webアプリケーションを一時的に使用不可にできることが確認されたそうです。

 

対象(とてもやさしい説明)

Apache Strutsとは、Javaのウェブアプリケーションを作成するための開発環境(ソフトウェアフレームワーク)です。WEBサーバなんかで有名なApache Software Foundation が提供しています。

ぶっちゃけ一般の方には直接関係ありません。サーバ側とか開発環境の問題です。JAVA開発をしないパソコンには普通は入ってませんし、ましてやInternetExplorやChromeといったブラウザに搭載されているものでもありません。

ただし、仕事とかでJavaで作られたシステムをお使いの場合は注意が必要です。それなりに業務量の大きい企業ですと、ブラウザを広げて社内ネットorインターネットに接続するタイプの基幹システム(顧客管理システムとか)をお使いかと。あやしいと思ったらシステム担当者に「大丈夫?」と言ってみて下さい。きっと嫌がられることでしょう。

 

対象(普通な情報)

Apache Struts 1.x / 2.0.0 から 2.3.16.1

バージョン確認方法:Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。

※サポート対象外となったApache Struts 1.x にも当該脆弱性が確認されています。
※20140428に2.3.16.1への対策漏れが発覚しています。

 

対策方法

対策済みのバージョンである 2.3.16.2へバージョンアップする

http://struts.apache.org/download.cgi

 

回避方法

バージョンアップによる対策が難しい場合はApache Software Foundation が提供する情報をもとに、以下の回避策を適用してください。

設定変更による回避

  • params インターセプターへの参照を独自に記述している場合、excludeParams を適切に設定する
  • defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する

Announcements
http://struts.apache.org/announce.html

ネットワーク設定変更による回避

本脆弱性に対応したシグネチャを搭載した WAF や IPS 等のネットワーク機器で攻撃リクエストを遮断できる可能性があります。攻撃リクエストの遮断可否については、利用している機器のベンダへお問合せください。

 

備考

ちなみに2013年7月には別の脆弱性(S2-016)が検知され、IPAでも確認されています。攻撃は細工されたHTTPリクエストをApache Struts2上で動作するWebアプリケーションに送信することで、任意のJavaコードが実行される。これによって第三者がリモートから任意のコードを実行できてしまう可能性があるという。この際にはApache Struts 2.3.15.1へのアップデートが推奨されていました。

 

まとめ

こいつを使ったWEBアプリがあるってことは、それなりにクリティカルなデータを扱っていたりで社内手続き的に速攻バージョンアップは難しいでしょうね。とりあえず可能ならIP制限してから改修スケジュール作るのが吉かな?

データ

https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

https://www.jpcert.or.jp/at/2013/at130033.html

http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

 


ハードウェア Amazonレビュー iPad-iPhone オーディオビジュアル スマートフォン

2020/7/19

低価格帯(5,000円以下)で超オススメなカナルイヤホン「final E3000」のマイク付きモデル「E3000C」を買ってみたよレビュー

これまで多くの中華イヤホンレビュー記事を書いてきた中で、何度か「もし国内メーカーの低価格帯イヤホンを買うならFinal(ファイナル)がオススメ」とお伝えしました。しかし実は自分で買っておらず、店頭で数回試聴しての判断でした。リファレンスイヤホンはオーディオテクニカのATH-IM03&ATH-IM04だし、奇想天外ながらハズレの少ない中華イヤホンKZを買うことが多かったから、あまり他の低価格帯イヤホンを購入する機会がなかったのです。 そんなある日、中学生になる娘から「iPhoneのイヤホンが壊れたから、新し …

続きを読む

Amazonレビュー iPad-iPhone スマートフォン

2020/6/18

iPad Proでイヤホンを使いながら充電する方法は、便利なUSB Type-Cアダプターやハブを使うべし

2018年以降に発売されたiPad Pro 11/12.9インチにはイヤホンジャックが無く、USB Type-Cポートが一つあるだけです。USB Type-Cからイヤホンジャックへ変換するケーブル・アダプターは存在しますが、充電しながらイヤホンが使えないと思ってしまっている方はいらっしゃらないでしょうか。 実際に家電量販店やケータイショップ、はたまたAppleストアを見ていても、充電しながらイヤホンを使えるアダプターは見つけることが出来ません。しかし、Amazonや楽天、Yahoo!などのネットショップで …

続きを読む

iPad-iPhone スマートフォン

2020/6/8

ドコモケータイ補償サービスでAndroidスマホを交換修理したけど、もう二度と使わないと思った話

この記事では、ドコモスマートフォンのケータイ補償サービスを実際に使ってみて、申し込み手続き方法や設定環境移行について、故障品の返却について、そして分かりにくいケータイ補償サービスの違いをレポートします。 毎月、保険料のようなかたちでケータイ補償サービスの掛け金を払ってきましたが、今回試してみてかなり残念な一面もありましたので参考になればと思います。

続きを読む

Amazonレビュー iPad-iPhone スマートフォン

2020/6/1

iPhone/iPad/Android/Mac/Windowsの画面をモニターディスプレイやパソコンへ映し出すミラーリング方法まとめ

iPhoneやiPadシリーズ、あるいはAndroidスマホ・タブレットなどの画面を他の人に見せたいと思ったことはありませんか。また自宅の大型テレビでパソコンの画面を映し出したり、プレゼンなどで会議室の大型ディスプレイやプロジェクターに出力したいと思ったことはありませんか? これら携帯端末やパソコンの画面を大きな家庭用テレビや大型PCディスプレイに映し出すことをミラーリングと言いますが、端末やコネクタージャックの種類、無線か有線かによっても方法が異なり、それぞれメリット・デメリットが存在します。 ネット検 …

続きを読む

Amazonレビュー iPad-iPhone スマートフォン

2020/5/6

PUBGモバイルなどのゲームと、Discordなどのボイスチャットアプリを併用する方法が分かったよ

音声ミキサーやパソコンを使わずに、PUBGモバイルの音を聞きながらDiscordなどのボイスチャットアプリで仲間と話せる方法をご紹介します。その解決方法は、意外なイヤホンを使うというものでした。 PUBGモバイルが楽しすぎて5シーズン連続でエースランクを取り続け、次シーズンこそ征服者になってみようと頑張っていますが、一つだけ悩みがありました。それはPUBGモバイルとDiscordを併用すると、PUBGモバイルの音声がモノラルで聞こえてしまうことでした。

続きを読む

オニオン座のオススメ記事

1

この記事では、Amazonプライム会員になるメリットとデメリットを整理してご紹介します。配送料無料やAmazonビデオ、Amazonミュージックなどのサービスははたして会費に見合うものなのでしょうか。 …

2

先日、スマホで使えるAudible (オーディブル)というオーディオブックサービスが1ヶ月無料という情報を聞いたので、実際に申し込んで本を購入してみました。ついでに解約方法も確認しておきました。 新型 …

3

この記事では、新発売のFire TV Stick4K(第3世代)で、前機種Fire TV Stick無印と同じようにスマートフォンのミラーリングができるかどうかを使い方を試してみました。また前機種との …

-WEB関連, TIPS
-, ,

Copy Protected by Chetan's WP-Copyprotect.

© 2020 パパママ世代応援ブログ:オニオン座