「2013-07-24 Apache Struts 2 CVE-2013-2251 任意のコードが実行される脆弱性」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 [[HTTPリクエス...」) |
(相違点なし)
|
2013年7月24日 (水) 00:25時点における版
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OSコマンド や不正なプログラムをリモートから実行される可能性があります。
概要
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。
影響を受けるバージョン
- Apache Struts 2.0.0 - 2.3.15
攻撃状況の確認
- action:
- redirect:
- redirectAction:
対応方法
- Apache Struts 2.3.15.1 へアップデートする
アップデート以外の暫定的な回避策
- 攻撃には action:, redirect: , redirectAction: のパラメータが利用されるため、これを制限します。
- パラメータのホワイトリスト化を行う
- リクエストサイズを400バイト未満、可能な限り、小さくすることで、攻撃を緩和できる
- IPS 製品で攻撃を遮断する