5月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Struts 2.3.16.3リリース(2014/05/03)
WebアプリケーションフレームワークStrutsのバージョン2.3.16.3がリリースされました。バージョン2.3.16.3では、CookieInterceptorからClassLoaderの操作を許してしまう脆弱性(CVE-2014-0113)での修正不足を解決しています。なお、この修正不足に対して、新たな脆弱性識別番号(CVE-2014-0116)が割り当てられました。
バージョン2.3.16.2では、ParametersInterceptorでEXCLUDED_PATTERNSを、CookieInterceptorでCLASS_ACCESS_PATTERNを除外パターンとしています。一方、バージョン2.3.16.3では、いずれも、EXCLUDED_PATTERNSを除外パターンとしています。EXCLUDED_PATTERNSとCLASS_ACCESS_PATTERNとの差分dojo、struts、session、request、application、servletRequest、servletResponse、parametersは、OGNL(Object Graph Navigation Language)に関するものです(図1)。
図1●バージョン2.3.16.3/2.3.16.2での除外パターン
- Apache Struts:Version Notes 2.3.16.3
- Apache Struts:Extends excluded params in CookieInterceptor to avoid manipulation of Struts' internals
- 日本シーサート協議会:Struts: ClassLoaderの操作を許してしまう脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113)について
