TOP

2022年3月23日 | テクノロジー

iPhone 14 Pro、ノッチがいよいよ最小サイズへ変更へ-設計図から判明か

2022年3月23日にAppleから2022年中に発表されることが予想されている「iPhone 14 Pro」にて、ディスプレイ上部のノッチ...

2022年2月17日 | テクノロジー

Amazon、ワイヤレスイヤホンEcho Buds(第2世代)を日本でも販売開始へ

2022年2月17日にAmazonが、同社のEchoブランドのワイヤレスイヤホンである「Echo Buds(第2世代)」を日本でも販売開始し...

2022年2月15日 | テクノロジー

インドにてM2チップ搭載のMac ProとMacboook Airをテスト中か

2022年2月15日にAppleが、インドにて「Mac mini」の上位モデルである新型「Mac Pro」と「Macbook Air」をテス...

2022年2月10日 | テクノロジー

Apple、発表イベントを3月8日に開催か-iPhone SE 3の初期在庫は少ないかもしれない

2022年2月10日にAppleが、製品発表イベントを3月8日に開催する可能性が明らかとなりました。   イベントで発...

2022年2月9日 | テクノロジー / 自動車

Tesla、アプリストアとして「Tesla Store」を準備中か

2022年2月9日にTeslaが、同社のアプリストアとして「Tesla Store(Tesla App Store)」を準備中である可能性が...

2022年2月8日 | テクノロジー

Apple、2022年に新型HomePodを発表か

2022年2月8日にAppleが、2022年中に新型HomePodを発表する可能性が明らかとなりました。   これは、...

2017年3月10日

Apache Struts 2、深刻な脆弱性が見つかり、現在も攻撃が横断中

2017年3月10日に「Apache Struts 2」で利用しているマルチパートパーサーに、深刻な脆弱性が見つかった問題が大規模に影響されることからセキュリティ機関やセキュリティベンダーでは注意を呼びかけている。

 

 

 

今回の問題は、ファイルのアップロードに使用される「jakartaマルチパートパーサー」に深刻な脆弱性「CVE-2017-5638」が公表されました。

 

 

脆弱性の内容

影響を受けるのは「Apache Struts 2」のバーッジョンはStruts 2.3.5~Struts 2.3.31、Struts 2.5~Struts 2.5.10となっている。

 

 

 

 

脆弱性「CVE-2017-5638」を検証したJPCERTコーディネーションセンターは、細工を施したHTTPリクエストを受けると、サーバー上で任意のコードが実行される恐れがあると説明している。

 

 

 

 

同様にソフトバンク・テクノロジーも、脆弱性の悪用は容易であり、攻撃を受けた場合の影響範囲は大きいものとコメントしている。

 

 

 

 

さらにCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループも、すでに多数の攻撃を検知しているようだ。

 

 

 

 

今回の脆弱性は、2017年3月6日にセキュリティアドバイザリが公開を行い、2017年3月7日の午前中に実証コードを公開しました。

 

 

 

 

公開後は、至る所で脆弱性を利用した攻撃が開始されており、現在も続けられている。

 

 

 

 

脆弱性による被害

今回の脆弱性を利用して「ifconfig」や「whoami」などのシステム情報を得ることができるコマンドが実行できるほか、アクセス制限を行う「iptables」を停止させ、外部ブラウザからDos攻撃用のボットなどのマルチウェアをダウンロード、実行させることも確認されている。

 

 

 

 

脆弱性を解消した、「2.3.32」「2.5.10.1」へのアップデートや、デフォルトで利用するマルチパートパーサーの変更、サーブレットフィルタの制御などの対策が必要となりますので、該当する場合は、早急に対策することをおすすめします。

出典元:Security Next

スポンサーリンク

あなたにおすすめの記事

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

こちらの記事もおすすめ

         

カテゴリ

タグ

お気軽にお書きください

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

Now Loading...

Now Loading...