2017年3にApache Struts 2の脆弱性（S2-045）に関する注意喚起を掲載しましたが、

１か月経過した現在も本脆弱性を悪用した攻撃が増加傾向にあります。

Apache Struts 2脆弱性情報との共有とSniperシリーズでの対策として

シグネチャー緊急リリースをいたします。

詳しくは、下記レポートをご参照頂きますようお願いいたします。

本記事はこちらよりPDFにてご覧頂けます。

---

【続報】注意喚起：Apache Struts 2の脆弱性情報と
Sniperシリーズのシグネチャーリリースについて

1．概要

2017年3月にApache Struts 2の脆弱性(S2-045)に関する注意喚起を掲載しましたが、1か月経過した現在も本脆弱性を悪用した攻撃が増加傾向にあります。また、本脆弱性により国内でも個人情報漏洩などの被害報告が行われております。2017年3月21日にIPAより関連脆弱性として「S2-046」の注意喚起も行われており、より一層緊急度を上げた対応を実施する必要があります。（後述の参考情報を参照ください。）

 ２．脆弱性情報詳細

 (1)対象となるバージョン

  - Apache Struts 2.3.5 から 2.3.31 まで

  - Apache Struts 2.5 から 2.5.10　まで

 

 (2)対策

  　Apache Struts を以下の最新バージョンに更新する。

  - Apache Struts 2.3.32

  - Apache Struts 2.5.10.1

 (3)対策までの対応方法

 　 JPCERT/CCからは以下の対応方法が提示されています。

　　「Apache Software Foundation は、パーサをデフォルトの JakartaMultipart parser (JakartaMultiPartRequest) から変更することも対策として呼びかけています。速やかなアップデートが難しい場合は、本対策の適用をご検討ください。」

※上記方法では本脆弱性に対応できない事が確認された為、次の対応方法が提示されています。

 1.    「Apache Software Foundation より、File Upload Interceptor を無効化する回避策が追加で案内されています。本回避策は、Struts 2.5.8 から2.5.10 に対して有効とのことです。回避策を適用する場合は、十分な検証の上、実施してください。」

2.    「アドバイザリ (S2-046) で公開された脆弱性について、既に公開されているアドバイザリ (S2-045) と、

脆弱性識別番号 (CVE-2017-5638) は同じであり、修正バージョンの変更はありませんが、回避策 (Jakarta Multipart parser/JakartaStreamMultiPartRequest の修正用プラグイン) が追加で案内されています。」

 3. Sniper IPS, Sniper ONEでの対策シグネチャーリリース

Sniper IPS, Sniper ONEシリーズは今回の脆弱性に対するシグネチャーをリリース致しました。

今回のようにシステムの脆弱性が見つかってもバージョンアップなどのシステム更新が必要で早急に対応できない場合に、

Sniper IPS等のセキュリティ製品による多層防御システムは有効です。

■３月９日 リリース (S2-045対応)

■３月2９日 リリース (S2-046対応)

 

 ＜参考情報＞

    ■Apache Struts 2

    ・Version Notes 2.3.32

    ・Version Notes 2.5.10.1

    ・Struts Extras

    ■Apache Struts 2 Documentation

    ・Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.

    ・Possible RCE when performing file upload based on Jakarta Multipart parser (similar to S2-045)

     ■JPCERT/CC

    ・Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

     ■独立行政法人情報処理推進機構 (IPA)

    ・Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)