情報処理推進機構(IPA)セキュリティセンターは2014年4月17日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」の脆弱性対策が急務だとして注意を呼びかけた。脆弱性を悪用する攻撃プログラムが出回っているためだ。脆弱性を悪用されると、Webサーバーに保存された情報を盗まれたり、悪質なプログラムを実行されたりする恐れがある。
Apache Strutsは、JavaのWebアプリケーションを作成するためのソフトウエアフレームワーク。OSS(オープンソースソフトウエア)であり、Apache Software Foundationが開発および提供している。Apache Strutsのバージョン1系列(バージョン1.x.x)はApache Struts 1、バージョン2系列(バージョン2.x.x)はApache Struts 2と呼ばれる。Apache Struts 1についてはサポートが終了している。
Apache Strutsのバージョン2.0.0から2.3.16には危険な脆弱性が見つかり、2014年3月に、脆弱性を修正したバージョン2.3.16.1が公開されている。今回IPAでは、この脆弱性を突く攻撃プログラムが公開されていることを確認したという。
脆弱性が存在するApache Struts 2を利用しているWebサイトに対して攻撃プログラムを実行すると、Webサイトに保存されている情報の窃取や特定ファイルの操作、Webアプリケーションの停止などが可能になるという(図)。また、攻撃者が操作したファイルにJavaプログラムが含まれている場合には、悪質なプログラムを実行される危険性もあるという。
このためIPAでは、Apache Struts 2を利用しているWebサイトの管理者に対して、早急にアップデートするよう強く勧めている。
[IPAの情報]
