情報処理推進機構

情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は9月4日、「Apache Struts」における2件の脆弱性情報を、JVN(Japan Vulnerability Notes)において公表した。

1件目は、JSPファイルに対し直接アクセスが可能な場合におけるクロスサイトスクリプティングの脆弱性。XSSフィルタが無効になっているユーザのInternet Explorer上で、任意のスクリプトを実行される可能性がある。

最新版へのアップデートが対策方法となるが、Apache Strutsの開発者は、直接アクセスできないようにJSPファイルをWEB-INFフォルダ内に移動する、web.xmlにセキュリティ設定を追記するといった対応も推奨している。

2件目は、devModeが有効になっている場合におけるクロスサイトスクリプティングの脆弱性。ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。

こちらも最新版へのアップデートが対策方法となるが、アップデートを適用できない場合は、devModeを無効にすることで、同問題の影響を回避できるという。