情報処理推進機構(IPA)セキュリティセンターは2014年4月24日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」の最新版に脆弱性対策の漏れがあると緊急の注意喚起をした。また、同様の脆弱性が旧バージョンである「Apache Struts 1」系にも存在すると、セキュリティベンダーが発信していると報告している。
Apache Struts 2については、脆弱性を悪用する攻撃プログラムがあると、4月17日にIPAが注意喚起していた(関連記事:Apache Struts 2の脆弱性対策が急務、攻撃プログラムが出回る )。その時点では最新版である「2.3.16.1」へのアップデートを呼びかけていたが、4月24日に最新版の脆弱性対策に漏れがあることが判明した。
IPAは脆弱性の回避策として攻撃リクエストの遮断を推奨している。具体的には、脆弱性に対応したシグネチャを搭載したWAF(Webアプリケーションファイアウォール)やIPS(侵入防御システム)を使って、攻撃リクエストを遮断するという方法だ。
脆弱性を悪用されると、Webアプリの動作権限内の情報の窃取や特定ファイルの操作、Webアプリの一時停止といった恐れがある。
