Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起

 JPCERT/CCからの「Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2017-0033
JPCERT/CC
2017-09-06(新規)
2017-09-06(更新)
<<< JPCERT/CC Alert 2017-09-06 >>>
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170033.html

I.概要

Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性(CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Pluginを用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行される可能性があります。
脆弱性の詳細は、Apache Software Foundation からの情報を参照してください。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されています。
Apache Struts 2 Documentation
S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://struts.apache.org/docs/s2-052.html
Apache Software Foundation は本脆弱性の深刻度を「Critical」と評価しています。Apache Software Foundation からは、本脆弱性に対する有効な回避策はなく、Struts REST Plugin を削除するか、XML によるリクエストを受け付けないように制限をすることが説明されています。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを強く推奨します。

II.対策

次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

– Apache Struts 2

– 2.5 系列    2.5.13 より前のバージョン

** 更新: 2017年 9月 6日追記*******************************************
2017年9月6日、Apache Software Foundation から、本脆弱性の影響の範囲の修正が示されています。修正内容によれば、次のバージョンの Apache Struts 2が本脆弱性の影響を受けるとのことです。
– Apache Struts 2  2.1.2 から 2.3.33 までのバージョン、および 2.5 から 2.5.12 までのバージョン
詳細は、Apache Software Foundation の情報を参照してください。
Apache Software Foundation

S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://cwiki.apache.org/confluence/display/WW/S2-052
**********************************************************************

III.対策

Apache Software Foundation からは、本脆弱性について修正したバージョンのApache Struts 2 が公開されています。修正済みのバージョンに更新することをご検討ください。
– Apache Struts 2

– 2.5 系列    2.5.13

なお、Apache Software Foundation によると、上記のバージョンには、次の脆弱性の修正も含まれるとのことです。
– S2-050 (深刻度「Low」)

– 2.3 系列    2.3.7 から 2.3.33 までのバージョン
– 2.5 系列    2.5.13 より前のバージョン

– S2-051 (深刻度「Medium」)

– 2.3 系列    2.3.7 から 2.3.33 までのバージョン
– 2.5 系列    2.5.13 より前のバージョン

詳細は、Apache Software Foundation からの更新情報を参照してください。
Apache Struts 2 Documentation

Version Notes 2.5.13
https://struts.apache.org/docs/version-notes-2513.html

** 更新: 2017年 9月 6日追記*******************************************
2017年9月6日、Apache Software Foundation は、本脆弱性の影響の範囲を修正し、修正済みのバージョンについて言及しています。
– Apache Struts 2

– 2.3 系列    2.3.34

ただし、2017年9月6日現在において、JPCERT/CC では、2.3 系列の公開版パッケージへのリンクは確認できていません。該当するバージョンの Apache Struts 2を使用している場合には、Apache Software Foundation からの情報に引き続き注意してください。
Apache Software Foundation

Version Notes 2.3.34
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.34
**********************************************************************

IV. 参考情報

Apache Struts 2 Documentation
S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://struts.apache.org/docs/s2-052.html

Apache Struts 2 Documentation

REST Plugin
https://struts.apache.org/docs/rest-plugin.html

Apache Struts 2 Documentation

S2-050 : A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)
https://struts.apache.org/docs/s2-050.html

Apache Struts 2 Documentation

S2-051 : A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin
https://struts.apache.org/docs/s2-051.html

** 更新: 2017年 9月 6日追記*******************************************

JVNVU#92761484
Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
https://jvn.jp/vu/JVNVU92761484/
**********************************************************************

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2017-09-06 初版
2017-09-06 「I. 概要」のCVE番号を修正、「II. 対象」、「III. 対策」、
「IV. 参考情報」を追記

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/