ニュース News

プレスリリース

2018年

【SBT脆弱性調査レポート】
脆弱性(CVE-2018-11776)(S2-057)に関する調査レポート公開

~Apache Struts 2の脆弱性により、リモートから任意のコードを実行可能な脆弱性の再現性を検証~ 

2018年8月27日
ソフトバンク・テクノロジー株式会社

ソフトバンク・テクノロジー株式会社(本社:東京都新宿区、代表取締役社長:阿多 親市、以下SBT)は、脆弱性CVE-2018-11776を利用した攻撃の再現性について検証を行い、調査レポートを公開しましたのでお知らせします。

該当の脆弱性については、本レポート作成時の2018年8月27日時点において、既にApache Software Foundationよりこの脆弱性が修正されたバージョン(2018年8月22日付)がリリースされておりますが、攻撃が容易であり、かつ攻撃コードも公開されていること、また攻撃を受けた際にシステムへの影響が大きいことから、クリティカルな脆弱性として、当社セキュリティリサーチグループにおいて再現性の検証を行いました。


【概要】
Apache Struts 2に、リモートより任意のコードが実行可能な脆弱性(CVE-2018-11776)(S2-057)及び、その脆弱性を利用する攻撃コードが発見されました。この脆弱性は、Strutsフレームワークのコアによるデータ検証処理の欠陥にあり、alwaysSelectFullNamespaceがtrueに設定されている場合、または、strutsの設定ファイルにワイルドカードnamespaceを使用したactionタグまたはurlタグが含まれる場合に影響を受けます。
この脆弱性を利用した攻撃が成立した場合、リモートからApache Struts 2が配置されたWebアプリケーションサーバーの実行権限で任意のコードを実行される危険性があります。



影響を受ける可能性があるシステム】
・ Apache Struts 2.3から2.3.34までのバージョン
・ Apache Struts 2.5から2.5.16までのバージョン

上記以外のサポート外のバージョンのStrutsでも、脆弱性の影響を受ける可能性があります。


【影響を受ける可能性があるシステム】
本レポート作成(2018年8月27日)時点において、Apache Software Foundationより、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。



バージョン確認方法
Apache Struts 2が配置されたWebアプリケーションサーバーにて、/WEB-INF/lib以下にある.jarファイルを検索します。検索結果として表示されるstruts2-core-2.x.x.x.jarの『2.x.x.x』の部分が、バージョン情報になります。
また、struts2-core-2.x.x.x.jarファイルに含まれるMANIFEST.MFについて、Bundle-Versionから始まる行を参照することでも、Apache Struts 2バージョン情報を確認することが可能です。

詳細はこちらをご覧ください。
https://www.softbanktech.jp/information/2018/20180827-01/




■ 本件に関する報道機関からの問い合わせ先
ソフトバンク・テクノロジー株式会社 経営企画部 コーポレートコミュニケーショングループ
Tel:03-6892-3063 / Mail:sbt-pr@tech.softbank.co.jp

ソフトバンク・テクノロジー 概要

one sbt

ソフトバンク・テクノロジーは、「情報革命で人々を幸せに ~技術の力で、未来をつくる~」という理念のもと、大きく成長することを目標に掲げ、クラウドとIoTに注力しています。クラウドを活用した働き方改革による生産性の向上やコスト削減などの支援に加えて、IoTやAIなどの先端技術を活用してお客様の本業成長に貢献できる真のビジネスパートナーを目指しています。

このページのトップへ