TOP

2021年6月11日 | テクノロジー

日本でもAmazon Music HDがAmazon Music Unlimitedで追加料金無しで利用可能に

2021年6月10日にAmazonが、日本でもAmazon Music Unlimited加入者向けにAmazon Music HDを追加料...

2021年5月27日 | テクノロジー

M1チップに修正不可能な脆弱性が指摘される

2021年5月27日にAppleが新製品に採用している「M1」チップにて、Linux移植作業を実施している研究者から修正不可能な脆弱性がある...

2021年5月26日 | テクノロジー / 自動車

Tesla、モデル3とモデルYからミリ波レーダーを削除か

2021年5月26日にTeslaが、エントリーモデルである「Tesla Model 3」と「Tesla Model Y」からミリ波レーダーを...

2021年5月25日 | テクノロジー

新型iMac 24インチの分解レポートをiFixitが公開!ロジックボードはどうなっている?

2021年5月25日に解体レポートで有名なiFixitが、Appleから販売されたばかりの新型「iMac 24インチ」の分解レポートを公開し...

2021年5月20日 | テクノロジー

Apple Watch Series 7のデザインの予想が公開へ

2021年5月20日に「Apple Watch Series 7」のデザイン予想が公開されたことが明らかとなりました。   ...

2021年5月18日 | テクノロジー

Amazon Music、ハイレゾ対応を無料へ-Apple Musicに対抗か

2021年5月18日にAmazonが、「Amazon Music」のハイレゾオプションを無料化したことが明らかとなりました。 &nbs...

1位

新型New Surface Pro(サーフェスプロ)が突然休止状態になる不具合を修正

2位

新型New Surface Pro(サーフェスプロ)が突然休止状態になる不具合が報告される

3位

【速報】SONYがプレイステーション5(プレステ5/PS5)を2018年中に販売開始!?-間もなく発表か

4位

【まとめ】Microsoft、2017年モデルの新しいSurface Laptop(サーフェスラップトップ)を発表 – Learn what’s next

5位

Microsoft、Surface Laptop(サーフェスラップトップ)の価格やスペックを公開 – 無料で Windows 10 Proへのアップデートも可能

6位

ビックカメラ、Apple入荷待ち状態を確認できる「Appleご注文商品の入荷状況について」を公開!

7位

第8世代iPod Touch、Touch IDまたはFace IDをいよいよ搭載か!iOS 14から見つかる

8位

ミニニンテンドー64(MINI NINTENDO64)はまだ登場しないかもしれない

9位

Surface Book 3(サーフェスブック3)、AMD製GPUを搭載して2019年秋頃に登場か

10位

Tesla Model Yの3列目の広さは思ったよりも狭くないかもしれない

11位

PlayStation 5(PS5)は、2021年に登場!?PS4、PS3、PS2ソフトと互換性あり

12位

大学院生が100円でMacをタッチパネル化できることを発表

13位

Microsoft、Surface Pro 8を2021年10月に発表か-デザイン変更も

14位

Apple、8Kディスプレイと新型Mac miniをハイエンドモデルとして発表か

15位

Microsoft、Surface Arc Mouse(サーフェスアークマウス)をSurface Laptop(サーフェスラップトップ)ともに発表

16位

Surfaceシリーズの販売スケジュールがリークされる-Surface Pro 2018は秋に登場か

17位

Microsoft 新型Surface Goを準備中か-Intel Core m3を搭載

18位

SONY、PlayStation 5(PS5)はPS4の下位互換性があることを正式発表!PS Vitaの役割も終了

19位

Surface Laptop(サーフェスラップトップ)のHands-on(ハンズオン)動画が次々と公開へ – レビュー動画

20位

Microsoft製、Surface Dialの噂をまとめてみた
ITトレンドニュース > テクノロジー > Apache Struts 2、深刻な脆弱性が見つかり、現在も攻撃が横断中
2017年3月10日

Apache Struts 2、深刻な脆弱性が見つかり、現在も攻撃が横断中

2017年3月10日に「Apache Struts 2」で利用しているマルチパートパーサーに、深刻な脆弱性が見つかった問題が大規模に影響されることからセキュリティ機関やセキュリティベンダーでは注意を呼びかけている。

 

 

 

今回の問題は、ファイルのアップロードに使用される「jakartaマルチパートパーサー」に深刻な脆弱性「CVE-2017-5638」が公表されました。

 

 

脆弱性の内容

影響を受けるのは「Apache Struts 2」のバーッジョンはStruts 2.3.5~Struts 2.3.31、Struts 2.5~Struts 2.5.10となっている。

 

 

 

 

脆弱性「CVE-2017-5638」を検証したJPCERTコーディネーションセンターは、細工を施したHTTPリクエストを受けると、サーバー上で任意のコードが実行される恐れがあると説明している。

 

 

 

 

同様にソフトバンク・テクノロジーも、脆弱性の悪用は容易であり、攻撃を受けた場合の影響範囲は大きいものとコメントしている。

 

 

 

 

さらにCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループも、すでに多数の攻撃を検知しているようだ。

 

 

 

 

今回の脆弱性は、2017年3月6日にセキュリティアドバイザリが公開を行い、2017年3月7日の午前中に実証コードを公開しました。

 

 

 

 

公開後は、至る所で脆弱性を利用した攻撃が開始されており、現在も続けられている。

 

 

 

 

脆弱性による被害

今回の脆弱性を利用して「ifconfig」や「whoami」などのシステム情報を得ることができるコマンドが実行できるほか、アクセス制限を行う「iptables」を停止させ、外部ブラウザからDos攻撃用のボットなどのマルチウェアをダウンロード、実行させることも確認されている。

 

 

 

 

脆弱性を解消した、「2.3.32」「2.5.10.1」へのアップデートや、デフォルトで利用するマルチパートパーサーの変更、サーブレットフィルタの制御などの対策が必要となりますので、該当する場合は、早急に対策することをおすすめします。

出典元:Security Next

0

スポンサーリンク

あなたにおすすめの記事

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

こちらの記事もおすすめ

         

カテゴリ

テクノロジー

タグ

お気軽にお書きください

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)