「2013-07-24 Apache Struts 2 CVE-2013-2251 任意のコードが実行される脆弱性」の版間の差分
提供: セキュリティ
| 行1: | 行1: | ||
| − | + | Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の '''OSコマンド''' や'''不正なプログラム'''をリモートから実行される可能性があります。 | |
| − | + | ||
| − | + | ||
| − | Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 | + | |
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
| − | + | Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。 | |
| − | Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 | + | |
Apache Struts において、サーバ上で任意のコマンドが実行される[[脆弱性]](JVN#33504150)も存在します。 | Apache Struts において、サーバ上で任意のコマンドが実行される[[脆弱性]](JVN#33504150)も存在します。 | ||
S2-016 の脆弱性と同じものです。 | S2-016 の脆弱性と同じものです。 | ||
| − | |||
== 影響を受けるバージョン == | == 影響を受けるバージョン == | ||
| − | |||
* Apache Struts 2.0.0 - 2.3.15 | * Apache Struts 2.0.0 - 2.3.15 | ||
| − | |||
== 攻撃状況の確認 == | == 攻撃状況の確認 == | ||
| − | |||
[[Webサーバ]] の[[ログ]]を以下のキーワードで検索してください。 | [[Webサーバ]] の[[ログ]]を以下のキーワードで検索してください。 | ||
| 行24: | 行16: | ||
* redirect: | * redirect: | ||
* redirectAction: | * redirectAction: | ||
| − | |||
== 対応方法 == | == 対応方法 == | ||
| − | |||
* Apache Struts 2.3.15.1 へアップデートする | * Apache Struts 2.3.15.1 へアップデートする | ||
| − | |||
== アップデート以外の暫定的な回避策 == | == アップデート以外の暫定的な回避策 == | ||
| − | |||
* 攻撃には action:, redirect: , redirectAction: のパラメータが利用されるため、これを制限します。 | * 攻撃には action:, redirect: , redirectAction: のパラメータが利用されるため、これを制限します。 | ||
* パラメータの[[ホワイトリスト]]化を行う | * パラメータの[[ホワイトリスト]]化を行う | ||
| − | * | + | * リクエストサイズを400バイト未満、可能な限り、小さくすることで、攻撃を緩和できる |
* [[IPS]] 製品で攻撃を遮断する | * [[IPS]] 製品で攻撃を遮断する | ||
| − | |||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[セキュリティニュース]] | * [[セキュリティニュース]] | ||
* [[情報漏えい]] | * [[情報漏えい]] | ||
* JVN#33504150 [http://jvn.jp/jp/JVN33504150/ Apache Struts において任意のコマンドを実行される脆弱性] | * JVN#33504150 [http://jvn.jp/jp/JVN33504150/ Apache Struts において任意のコマンドを実行される脆弱性] | ||
| + | <!-- vim: filetype=mediawiki | ||
| + | --> | ||
2015年9月22日 (火) 16:02時点における最新版
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OSコマンド や不正なプログラムをリモートから実行される可能性があります。
概要
Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。
Apache Struts において、サーバ上で任意のコマンドが実行される脆弱性(JVN#33504150)も存在します。 S2-016 の脆弱性と同じものです。
影響を受けるバージョン
- Apache Struts 2.0.0 - 2.3.15
攻撃状況の確認
- action:
- redirect:
- redirectAction:
対応方法
- Apache Struts 2.3.15.1 へアップデートする
アップデート以外の暫定的な回避策
- 攻撃には action:, redirect: , redirectAction: のパラメータが利用されるため、これを制限します。
- パラメータのホワイトリスト化を行う
- リクエストサイズを400バイト未満、可能な限り、小さくすることで、攻撃を緩和できる
- IPS 製品で攻撃を遮断する
関連項目
- セキュリティニュース
- 情報漏えい
- JVN#33504150 Apache Struts において任意のコマンドを実行される脆弱性