TOP

2020年5月5日 | テクノロジー

Apple、Macbook Pro 13インチ 2020年モデルを正式発表!マジックキーボード搭載で価格も値下げへ

2020年5月4日にAppleが、同社の公式サイトにて「Macbook Pro 13インチモデル」を正式発表したことが明らかとなりました。 ...

2020年4月21日 | テクノロジー

Apple、iPhone SE Plusを2021年3月に発表か

2020年4月21日にAppleが、「iPhone SE」の大型版である「iPhone SE Plus」を来年の3月に販売する可能性が明らか...

2020年4月16日 | テクノロジー

Apple、iPhone SE 第2世代を正式発表-iPhone 8によく似ている

2019年4月16日にAppleが、噂されていた「iPhone SE(第2世代)」を正式発表したことが明らかとなりました。  ...

2020年4月8日 | ゲーム

PlayStation 5(PS5)のワイヤレスコントローラーDualSenseが初公開

2020年4月8日にSONYが、今年の末に販売を予定している「PlayStation 5(PS5)」のワイヤレスコントローラー「DualSe...

2020年3月26日 | テクノロジー

Apple、iPadOS 13.4を公開!トラックパッドに対応へ

2020年3月26日にAppleが、「iPadOS 13.4」をリリースしたことが明らかとなりました。   「iPad...

2020年3月19日 | テクノロジー

PlayStasion 5(PS5/プレステ5)のスペックが公開!8コアCPUとSSDを搭載へ

2020年3月19日にSONYが、「PlayStation 5」ことPS5/プレステ5のスペックを公開したことが明らかとなりました。 ...

2017年3月10日

Apache Struts 2、深刻な脆弱性が見つかり、現在も攻撃が横断中

2017年3月10日に「Apache Struts 2」で利用しているマルチパートパーサーに、深刻な脆弱性が見つかった問題が大規模に影響されることからセキュリティ機関やセキュリティベンダーでは注意を呼びかけている。

 

 

 

今回の問題は、ファイルのアップロードに使用される「jakartaマルチパートパーサー」に深刻な脆弱性「CVE-2017-5638」が公表されました。

 

 

脆弱性の内容

影響を受けるのは「Apache Struts 2」のバーッジョンはStruts 2.3.5~Struts 2.3.31、Struts 2.5~Struts 2.5.10となっている。

 

 

 

 

脆弱性「CVE-2017-5638」を検証したJPCERTコーディネーションセンターは、細工を施したHTTPリクエストを受けると、サーバー上で任意のコードが実行される恐れがあると説明している。

 

 

 

 

同様にソフトバンク・テクノロジーも、脆弱性の悪用は容易であり、攻撃を受けた場合の影響範囲は大きいものとコメントしている。

 

 

 

 

さらにCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループも、すでに多数の攻撃を検知しているようだ。

 

 

 

 

今回の脆弱性は、2017年3月6日にセキュリティアドバイザリが公開を行い、2017年3月7日の午前中に実証コードを公開しました。

 

 

 

 

公開後は、至る所で脆弱性を利用した攻撃が開始されており、現在も続けられている。

 

 

 

 

脆弱性による被害

今回の脆弱性を利用して「ifconfig」や「whoami」などのシステム情報を得ることができるコマンドが実行できるほか、アクセス制限を行う「iptables」を停止させ、外部ブラウザからDos攻撃用のボットなどのマルチウェアをダウンロード、実行させることも確認されている。

 

 

 

 

脆弱性を解消した、「2.3.32」「2.5.10.1」へのアップデートや、デフォルトで利用するマルチパートパーサーの変更、サーブレットフィルタの制御などの対策が必要となりますので、該当する場合は、早急に対策することをおすすめします。

出典元:Security Next

0

スポンサーリンク

あなたにおすすめの記事

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

こちらの記事もおすすめ

         

カテゴリ

タグ

お気軽にお書きください

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)