JVN#45093481
Apache Struts における複数の脆弱性
Apache Struts には、複数の脆弱性が存在します。
- Apache Struts 2.3.20 から 2.3.28.1 まで
なお、Apache Struts 1 は、2013年4月5日付けでサポート終了 (EOL) が宣言されています。
Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。Apache Struts を使用して開発された Web アプリケーションには、次の複数の脆弱性が存在します。
- クロスサイトリクエストフォージェリ (S2-038) - CVE-2016-4430
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 3.1 CVSS v2 AV:N/AC:M/Au:N/C:N/I:P/A:N 基本値: 4.3 - Getter メソッドにおける検証回避 (S2-039) - CVE-2016-4433
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 5.6 CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P 基本値: 6.8 - 入力値検証の回避 (S2-040) - CVE-2016-4431
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 5.6 CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P 基本値: 6.8
遠隔の第三者によって、ユーザが意図しない操作をさせられたり、外部の URL にリダイレクトされたり、細工されたデータを登録されたりする可能性があります。
アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。
[2016年6月30日 追記]
CVE-2016-4433 (S2-039) の脆弱性について、開発者は Struts 2.3.29 で修正したと述べていますが、報告者、JPCERT/CC それぞれで検証した結果、修正が不十分であり、Struts 2.3.29 において CVE-2016-4433 (S2-039) の脆弱性を使用した任意のコード実行が可能であることを確認しています。この脆弱性が修正不十分である点については、開発者と調整中です。
[2016年8月25日 訂正]
CVE-2016-4433 (S2-039) の脆弱性については Struts 2.3.29 で修正が完了していますが、開発者によると、本件に関連した問題が残っていることを確認しているとのことです。また、この問題は次期バージョンで修正される予定とのことです。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes | |
| CVE |
CVE-2016-4430 |
|
CVE-2016-4433 |
|
|
CVE-2016-4431 |
|
| JVN iPedia |
JVNDB-2016-000111(S2-038) |
|
JVNDB-2016-000112(S2-039) |
|
|
JVNDB-2016-000113(S2-040) |
- 2016/06/23
- NTT-CERTのベンダステータスが更新されました
- 2016/06/30
- JPCERT/CCからの補足情報に、CVE-2016-4433 の修正が不十分である旨を追記しました
- 2016/08/25
- JPCERT/CCからの補足情報の、CVE-2016-4433 に関する情報を修正しました
