ニュースソース:QUALYS Threat PROTECT
以下は 2017年3月8日に公開されたApache Struts Jakarta Multipart Parser Remote Code Execution Vulnerabilityを要約したものです。
2017年3月7日、Apache StrutsはCVE-2017-5638として追跡された、高リスクのリモートコマンド実行脆弱性にさらされたため、Apacheが緊急セキュリティ警告を発行しました。
StrutsはApache Foundation Jakartaプロジェクトチームのオープンソースプロジェクトで、MVCモードを使用し、Java開発者がJ2EEを使用してWebアプリケーションを開発するのを支援します。
現在、Strutsは、大規模なインターネット企業、政府、金融機関およびその他多くのサイトで広く利用されています。また、サイト内で使用するテンプレートの開発などにも利用されています。
Apache Strutsの関係者は、この脆弱性(S2-045)を確認し、高いリスクに分類しています。
影響を受けるバージョン:
- Apache Struts 2.3.5 – 2.3.31
- Apache Struts 2.5 – 2.5.10
脆弱性:
Content-Type ヘッダーの不適切な処理のため、Jakarta Multipartパーサーにリモートコード実行の脆弱性が存在します。
攻撃者はContent-Typeヘッダーに悪質なOGNLを使用してこの脆弱性を引き起こし、システムコマンドを実行できます。
注:原文では curlコマンドを使用して問題を再現した事例が紹介されています。
対策:
この脆弱性は、Apache Struts 2.3.32及びApache Struts 2.3.32 で修正済みです。