JPCERTコーディネーションセンター(JPCERT/CC)は2017年3月17日、同月9日に公開した注意喚起で挙げた「Apache Struts2」の脆弱性対策、「ソフトウエア『Jakarta Multipart parser』の入れ替え」では引き続き攻撃を受けてしまうと発表した。
Apache Struts2は、JavaのWebアプリケーションフレームワーク。多くのWebサイトで採用される。3月9日に公開された脆弱性(S2-045)を悪用されると、コンテンツを改ざんされたり、サーバー内のファイルを閲覧されたりする被害を受ける。国内でも被害が続出している。
JPCERT/CCは、Apache Struts2の開発を支援するApache Software Foundationが当初公開した対策の一つが無効だったとしている。Apache Software Foundationは、設定ファイルの文字解析を実行するソフトウエア(パーサ)「Jakarta Multipart parser」を、「JakartaStreamMultiPartRequest」に入れ替えれば攻撃を受けないとしていた。しかしこれでは引き続き攻撃を受けてしまうという情報提供を受け、検証した結果、それが事実だとわかったという。有効な対策は、Apache Struts2のアップデートしかない。
関連記事:JETROもApache Struts2脆弱性で被害か、メールアドレス2万件超窃取
関連記事:日本郵便、不正アクセスで約3万件のメールアドレスなど流出か
関連記事:沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か
関連記事:ニッポン放送もStruts2脆弱性でWebサイト改ざん