「2013-07-24 Apache Struts 2 CVE-2013-2251 任意のコードが実行される脆弱性」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 [[HTTPリクエス...」) |
|||
| 行9: | 行9: | ||
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 [[HTTPリクエスト]] で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。 | Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 [[HTTPリクエスト]] で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。 | ||
| + | |||
| + | Apache Struts において、サーバ上で任意のコマンドが実行される[[脆弱性]](JVN#33504150)も存在します。 | ||
| + | S2-016 の脆弱性と同じものです。 | ||
== 影響を受けるバージョン == | == 影響を受けるバージョン == | ||
| 行37: | 行40: | ||
* [[セキュリティニュース]] | * [[セキュリティニュース]] | ||
* [[情報漏えい]] | * [[情報漏えい]] | ||
| + | * JVN#33504150 [http://jvn.jp/jp/JVN33504150/ Apache Struts において任意のコマンドを実行される脆弱性] | ||
2013年9月7日 (土) 16:38時点における版
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OSコマンド や不正なプログラムをリモートから実行される可能性があります。
概要
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。
Apache Struts において、サーバ上で任意のコマンドが実行される脆弱性(JVN#33504150)も存在します。 S2-016 の脆弱性と同じものです。
影響を受けるバージョン
- Apache Struts 2.0.0 - 2.3.15
攻撃状況の確認
- action:
- redirect:
- redirectAction:
対応方法
- Apache Struts 2.3.15.1 へアップデートする
アップデート以外の暫定的な回避策
- 攻撃には action:, redirect: , redirectAction: のパラメータが利用されるため、これを制限します。
- パラメータのホワイトリスト化を行う
- リクエストサイズを400バイト未満、可能な限り、小さくすることで、攻撃を緩和できる
- IPS 製品で攻撃を遮断する
関連項目
- セキュリティニュース
- 情報漏えい
- JVN#33504150 Apache Struts において任意のコマンドを実行される脆弱性