【SBT脆弱性調査レポート】脆弱性(CVE-2018-11776)（S2-057）に関する調査レポート公開

ソフトバンク・テクノロジー株式会社（本社：東京都新宿区、代表取締役社長：阿多 親市、以下SBT）は、脆弱性CVE-2018-11776を利用した攻撃の再現性について検証を行い、調査レポートを公開しましたのでお知らせします。

該当の脆弱性については、本レポート作成時の2018年8月27日時点において、既にApache Software Foundationよりこの脆弱性が修正されたバージョン（2018年8月22日付）がリリースされておりますが、攻撃が容易であり、かつ攻撃コードも公開されていること、また攻撃を受けた際にシステムへの影響が大きいことから、クリティカルな脆弱性として、当社セキュリティリサーチグループにおいて再現性の検証を行いました。

【概要】

Apache Struts 2に、リモートより任意のコードが実行可能な脆弱性（CVE-2018-11776）(S2-057)及び、その脆弱性を利用する攻撃コードが発見されました。この脆弱性は、Strutsフレームワークのコアによるデータ検証処理の欠陥にあり、alwaysSelectFullNamespaceがtrueに設定されている場合、または、strutsの設定ファイルにワイルドカードnamespaceを使用したactionタグまたはurlタグが含まれる場合に影響を受けます。
この脆弱性を利用した攻撃が成立した場合、リモートからApache Struts 2が配置されたWebアプリケーションサーバーの実行権限で任意のコードを実行される危険性があります。

【影響を受ける可能性があるシステム】

・ Apache Struts 2.3から2.3.34までのバージョン
・ Apache Struts 2.5から2.5.16までのバージョン

上記以外のサポート外のバージョンのStrutsでも、脆弱性の影響を受ける可能性があります。

【対策案】

本レポート作成（2018年8月27日）時点において、Apache Software Foundationより、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。

【バージョン確認方法】

Apache Struts 2が配置されたWebアプリケーションサーバーにて、/WEB-INF/lib以下にある.jarファイルを検索します。検索結果として表示されるstruts2-core-2.x.x.x.jarの『2.x.x.x』の部分が、バージョン情報になります。
また、struts2-core-2.x.x.x.jarファイルに含まれるMANIFEST.MFについて、Bundle-Versionから始まる行を参照することでも、Apache Struts 2バージョン情報を確認することが可能です。

• ※本リリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。