【NEW】Apache Struts2 の脆弱性(CVE-2017-5638、S2-045、S2-046)について

2017.03.09

Apache Struts2 に新たな脆弱性が見つかっております(CVE-2017-5638、S2-045)。“Jakarta Multipart parser”のファイルアップロード処理が原因となり、リモートで任意のコードが実行される可能性があります。

本脆弱性に関して、IPA、JPCERTコーディネーションセンターからも注意喚起が行われており、この脆弱性を狙った実際の攻撃が多数報告されています。

Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)【2017.03.08 IPA】 Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起【2017.03.09 JPCERT/CC】

2017.03.21

上記に関連した脆弱性が追加報告されております(S2-046)。

【NEW】Scutum の対応

2017.03.09

CVE-2017-5638、S2-045につき、WAF 「Scutum」では2017年3月8日の段階で、公開されていた攻撃コードについて既存のシグネチャで防御できていることを確認するとともに、それ以外の攻撃パターンに関しても検証を行い、Scutumを経由した通信については本脆弱性の影響を受けないことを確認済みです。


2017.03.21

S2-046についても、WAF「Scutum」で防御できる状態に更新いたしました。Scutumを経由した通信は、本脆弱性の影響を受けません。

【2016年6月】Apache Struts2 の脆弱性(CVE-2016-4438、S2-037)について

2016.06.22

2016年6月、Apache Struts2 に新たな脆弱性が見つかりました。攻撃者が細工したHTTPリクエストを送信することにより、Apache Struts 2 を使用したアプリケーションを実行中のサーバで任意のコードが実行される可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンター、IPAからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起【2016.06.20 JPCERT/CC】 Apache Struts において任意のコードを実行可能な脆弱性【2016.06.20 JVN】 「Apache Struts」において任意のコードを実行可能な脆弱性対策について【2016.06.20 IPA】

【2016年6月】Scutum の対応

2016.06.22

WAF 「Scutum」 では、脆弱性情報の公開に先立つ2016年6月16日にすでに本脆弱性(CVE-2016-4438、S2-037)への対応を完了しております。
Scutumを経由した通信につきましては、本脆弱性を利用した攻撃の影響を受けることはございません。

【2016年4月】Apache Struts2 の脆弱性(CVE-2016-3081、S2-032)について

2016.04.28

2016年4月、Apache Struts2 に新たな脆弱性が見つかりました。この脆弱性を悪用されると、遠隔の第三者によってサーバ上で任意のコードを実行される可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンター、IPAからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起 【2016.04.28 JPCERT/CC】 Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032) 【2016.04.27 IPA】

【2016年4月】Scutum の対応

2016.04.28

WAF 「Scutum」 では2016年4月27日にすでに本脆弱性(CVE-2016-3081、S2-032)への対応を完了しております。
Scutumを経由した通信につきましては、本脆弱性を利用した攻撃の影響を受けることはございません。

【2013年】Apache Struts の脆弱性について

Apache Struts に脆弱性が見つかっております。任意のOSコマンドが実行される攻撃を受ける可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンターより以下の注意喚起が行われています。

Apache Struts の脆弱性 (S2-016) に関する注意喚起 【2013.07.19】

【2013年】Scutum の対応

WAF 「Scutum」 ではすでに本脆弱性の対応を完了しております。
Scutumをご利用いただいているWEBサイトにつきましては、本脆弱性によって任意のOSコマンドが実行される攻撃を受ける可能性はございません。

【2013年】参考情報

Scutum開発者による技術ブログ「WAF Tech Blog」では、本脆弱性を狙った攻撃について、Scutumで実際に観測・ブロックした実例をご紹介しております。

Apache Strutsの脆弱性(S2-016)を狙った攻撃の実例
【WAF Tech Blog 2013.08.05】