情報漏えいニュース

パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Apache Struts2の脆弱性修正バージョン2.3.16.1は修正不十分

by ·

  • 元記事:24 April 2014 – Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
  • 元記事:Apache Struts2(2.3.16、S2-020の修正版)に対するゼロディを弊社エンジニアが発見いたしました。
  • HP:Apache Struts
    • 発表日時 2014/4/24

    Apache Struts2に深刻な脆弱性が確認された件で、Apache Strutsが最新版のバージョン2.3.16.1を公開したが、この最新版の修正が不十分であることが三井物産セキュアディレクション(MBSD)のエンジニアにより発見された。MBSDによると、最新版のバージョン2.3.16.1はClassLoaderを操作される脆弱性を修正したものであるが、この修正が不十分であるため、現在もClassLoaderを操作される脆弱性が存在しており、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることが確認された。この脆弱性によりJavaコードが含まれたファイルを攻撃者が操作することで任意のコードが実行される恐れがある。現在この修正版は公開されていないが、軽減措置として同社はコードを公開している。

  • 関連記事:Apache StrutsにClassLoader を操作される脆弱性を確認




    • タグ:

    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
    ワンビは情報漏洩対策の専門家です。
    テレワークPC紛失・盗難時の情報漏洩防止と
    第三者データ消去証明にご興味がありましたらこちらから!

    あわせて読みたい