United States Computer Emergency Readiness Team (US-CERT)は2017年12月4日(米国時間)、「Apache Software Foundation Releases Security Updates」において、Apache Strutsバージョン2.5からバージョン2.5.14に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
-
Apache Security Bulletins S2-054
- Apache Security Bulletins S2-054 - A crafted JSON request can be used to perform a DoS attack when using the Struts REST plugin
- Apache Security Bulletins S2-055 - Vulnerability in the Jackson JSON library
US-CERTはユーザーや管理者に対して、上記のセキュリティ情報をチェックするとともに、脆弱性が修正されたApache Struts 2.5.14.1へアップグレードすることを推奨している。
Apache Strutsで構築されたWebサイトは日本国内に多数存在すると見られており注意が必要。日本語における関連情報は情報処理推進機構の「Apache Struts2 の脆弱性対策情報一覧」にまとまっている。
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう