Apache Struts 2においてdevModeが有効である場合に任意のJava(OGNL)コードが実行可能となる脆弱性

LAC Advisory No.123

Problem first discovered on: Fri, 22 Jul 2016
Published on: Fri, 3 Feb 2017

脅威度

高

概要

Apache財団が提供しているApache Struts 2には、遠隔から任意のJava(OGNL)コードが実行可能となる脆弱性が存在します。

詳細

Apache財団が提供しているApache Struts 2は、オープンソースのWebアプリケーションフレームワークです。Apache Struts 2には、開発用に用いるdevModeで用いられているパラメータに値検証不備が含まれているため、脆弱なパラメータに任意のJava(OGNL)コードを外部から挿入され実行されてしまう脆弱性が存在します。このため、悪意のあるユーザがApache Struts 2で作成されたdevModeが有効なコンテンツにアクセスしてしまった場合、Apache Struts 2で作成されたWebアプリケーションサーバ上で悪意のあるJava(OGNL)コードが実行されてしまう恐れがあります。

スクリーンショット

影響を受けるシステム

• Apache Struts 2.3.30およびそれ以前
• Apache Struts 2.5.1およびそれ以前

対策

JVNが提供する情報をもとに、ソフトウェアを脆弱性の影響を受けないバージョンへアップデートしてください。アップデートが難しい場合は、ベンダ情報記載のWebページを参考にして、必要な時を除きdevModeを無効化することにより対策してください。

［ベンダ情報］

Apache Struts2 Core Developers Guide [Security - Disable devMode]

発見者

藤本 博史(エンタープライズシステム部)、北原 憲（システムアセスメント部）

謝辞

本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。

JVN#92395431: Apache Struts 2 において devMode が有効な場合に任意の Java(OGNL) コードが実行可能な問題

CVE番号

割り当て無し