JPCERTコーディネーションセンター(JPCERT/CC)は2017年3月17日、同月9日に公開した注意喚起で挙げた「Apache Struts2」の脆弱性対策、「ソフトウエア『Jakarta Multipart parser』の入れ替え」では引き続き攻撃を受けてしまうと発表した。

JPCERTコーディネーションセンターの注意喚起。3月9日に公開した情報に追記として、今回の情報を追加している。URLは、https://www.jpcert.or.jp/at/2017/at170009.html。
JPCERTコーディネーションセンターの注意喚起。3月9日に公開した情報に追記として、今回の情報を追加している。URLは、https://www.jpcert.or.jp/at/2017/at170009.html。
[画像のクリックで拡大表示]

 Apache Struts2は、JavaのWebアプリケーションフレームワーク。多くのWebサイトで採用される。3月9日に公開された脆弱性(S2-045)を悪用されると、コンテンツを改ざんされたり、サーバー内のファイルを閲覧されたりする被害を受ける。国内でも被害が続出している。

 JPCERT/CCは、Apache Struts2の開発を支援するApache Software Foundationが当初公開した対策の一つが無効だったとしている。Apache Software Foundationは、設定ファイルの文字解析を実行するソフトウエア(パーサ)「Jakarta Multipart parser」を、「JakartaStreamMultiPartRequest」に入れ替えれば攻撃を受けないとしていた。しかしこれでは引き続き攻撃を受けてしまうという情報提供を受け、検証した結果、それが事実だとわかったという。有効な対策は、Apache Struts2のアップデートしかない。