Struts2の脆弱性 CVE-2017-5638 (S2-045/S2-046)についてまとめてみた - piyolog
2017年3月7日、Struts2にリモートから任意のコード実行可能な脆弱性が確認されたとして情報(S2-045)が公開されました。また同様の脆弱性が他にも存在するとして、2017年3月20日に脆弱性情報(S2-046)も公開されています。ここでは脆弱性の関連情報をまとめます。 脆弱性の概要 対象 Apache Struts2 CVE CVE-2017-5638 影響 RCE 重要度 High(Apache Struts) CVSS 7.3(Base) CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 7.5(Base) AV:N/AC:L/Au:N/C:P/I:P/A:P (JVNより) PoC インターネット上に公開済 悪用の状況 攻撃観測情報あり(2017/03/07) 発見者/報告者 Nike Zheng氏(S2-045) Chris Fro
Apache Struts 2の脆弱性「S2-037」にご注意ください | セキュリティ対策のラック
Apache Struts 2のRESTプラグインをご利用の方は、至急アップデートすることを お勧めします。 なお、S2-037はS2-033と類似の脆弱性です。S2-033についてDMIの無効化により 対策していたとしてもS2-037の脆弱性は攻撃が成功しますのでご注意ください。 注意喚起情報は、ラックメールマガジン(臨時号)にて、いち早く皆様にお知らせしています。 配信をご希望の方はこちらからご登録いただけます。 米国時間の6月17日に公式サイトでアナウンスされたS2-037の脆弱性について、弊社では、WindowsおよびLinux上で動作するApache Struts 2(以降、Struts 2と呼ぶ)で有効な攻撃コードを確認しています。また、一部の攻撃コードは中国でも公開されています。 この脆弱性は、RESTプラグインを使用している場合に影響を受けます。 攻撃により、アプリケーショ
Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起
各位 JPCERT-AT-2016-0027 JPCERT/CC 2016-06-20(新規) 2016-06-21(更新) <<< JPCERT/CC Alert 2016-06-20 >>> Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160027.html I. 概要 Apache Software Foundation が提供している Apache Struts 2 には脆弱性 (S2-037/CVE-2016-4438) が存在します。REST Plugin*1 を使用している場合、 遠隔の攻撃者が、脆弱性を悪用するように細工した HTTP リクエストを送信す ることで、Apache Struts 2 を使用するアプリケーション (Struts アプリケー ション) を実行して
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
