パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Apache Struts、Apache Struts 2に深刻な脆弱性を確認

  • 元記事:S2-057
  • 元記事:Oracle Security Alert Advisory – CVE-2018-11776
  • 元記事:Apache Struts Remote Code Execution Vulnerability Affecting Cisco Products: August 2018
  • HP:Apache Struts
  • HP:Cisco Systems
  • HP:Oracle
  • 発表日時 2018/8/31

    Apache Struts 2に脆弱性が確認された。影響を受けるのはStruts 2.0.4~2.3.34及び2.5.0~2.5.16で、alwaysSelectFullNamespace を true に設定し、Strutsの設定ファイルでnamespaceの値が指定されていない又はワイルドカードネームスペースで指定した際に“value”や“action”が指定されていないURLタグが含まれている場合に影響を受ける。この脆弱性が悪用されると、細工されたHTTPリクエストを送信することで任意のコードが実行可能となり、重要度はCriticalとなっている。同社はこの脆弱性を修正したStruts 2.3.35及びStruts 2.5.17を公開した。
    また、Cisco SystemsやOracleはセキュリティアドバイザリを公開し、影響を受ける製品情報の公開やこの脆弱性に対応した製品を公開した。この脆弱性は条件が満たされた環境において悪用が容易で、すでに実証コードも複数公開されていることから、早めに脆弱性対応を行うよう呼び掛けている。




    あわせて読みたい