2013-07-24 Apache Struts 2 CVE-2013-2251 任意のコードが実行される脆弱性

提供: セキュリティ
2015年9月22日 (火) 16:02時点におけるDaemon (トーク | 投稿記録)による版

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OSコマンド不正なプログラムをリモートから実行される可能性があります。

概要

Webアプリケーション構築のフレームワーク Apache Struts 2 の 脆弱性(S2-016) CVE-2013-2251 は、 HTTPリクエスト で任意の Java コードを実行され、 任意の OS コマンド や不正なプログラムをリモートから実行される可能性があります。

Apache Struts において、サーバ上で任意のコマンドが実行される脆弱性(JVN#33504150)も存在します。 S2-016 の脆弱性と同じものです。

影響を受けるバージョン

  • Apache Struts 2.0.0 - 2.3.15

攻撃状況の確認

Webサーバログを以下のキーワードで検索してください。

  • action:
  • redirect:
  • redirectAction:

対応方法

  • Apache Struts 2.3.15.1 へアップデートする

アップデート以外の暫定的な回避策

  • 攻撃には action:, redirect: , redirectAction: のパラメータが利用されるため、これを制限します。
  • パラメータのホワイトリスト化を行う
  • リクエストサイズを400バイト未満、可能な限り、小さくすることで、攻撃を緩和できる
  • IPS 製品で攻撃を遮断する

関連項目



スポンサーリンク

https://kaworu.jpn.org/security/index.php?title=2013-07-24_Apache_Struts_2_CVE-2013-2251_任意のコードが実行される脆弱性&oldid=3190」から取得