さっき、NRIのOpenStandiaから、以下のようなメールが来た。
(太字はメールから引用)
2014年4月、Apache Struts 2の脆弱性について発表されましたが、
この脆弱性は、すでにEOL(End of Life)となっている
Apache Struts1.xについても類似の脆弱性が存在します。
Apache Struts1.xをお使いの方はまだ多くいらっしゃると思いますが
脆弱性対策は大丈夫でしょうか?
この脆弱性を悪用された場合、
・Webサーバー内の情報を盗み取られる
・特定ファイルを操作される
・Webアプリを一時的に使用不可状態にされる
・Javaコードが含む場合、任意のコードが実行される
などの可能性があります!
▼IPA 7/15更新 Apache Struts2 の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
NRI OpenStandiaでは、すでにEOLのApache Struts 1.xを独自サポートし、
お客様に安心してApache Struts1.xを継続利用いただくために、
この脆弱性対策に関する修正プログラム提供のサービスを実施しています。
まずはお気軽にお問い合わせください。
[対象バージョン]
・Apache Struts:1.0.x 1.1.x 1.2.x 1.3.x
▼OpenStandia Apache Struts 1.x脆弱性対策サービス
http://openstandia.jp//oss_info/struts/apachestruts-patch.html?mm=83_1
▼Apache Struts1.xの修正プログラムに関する詳細および
年間保守サービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html?mm=83_2
ということで、IPAが最近更新したとのことなので、見てみましょう
ここ
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
1.X系の対策として(斜体は上記サイトより引用)
Apache Struts 1 系
脆弱性の解消 - アップデート
サードバーティが提供する情報をもとに、アップデートを検討ください。
Red Hat Customer Portal
https://rhn.redhat.com/errata/RHSA-2014-0474.html
Apache Struts 1.2.9 with SP1 by TERASOLUNA
http://sourceforge.jp/projects/terasoluna/wiki/StrutsPatch1-JP
は、いいとして、7月15日の更新は?
2014年7月15日 JPCERT/CC、IPA が共同で運用する JVN にて、Apache Struts 1 に起因する S2Struts の脆弱性について対策情報を公表
IPAが、公表されている情報をもとに本ページを更新(5回目)
を、S2Strutsですか、・・・とうとうSeaserにまで・・・
詳しくは
JVN#19118282
S2Struts において ClassLoader が操作可能な脆弱性
http://jvn.jp/jp/JVN19118282/index.html
を参照してください。
(太字はメールから引用)
2014年4月、Apache Struts 2の脆弱性について発表されましたが、
この脆弱性は、すでにEOL(End of Life)となっている
Apache Struts1.xについても類似の脆弱性が存在します。
Apache Struts1.xをお使いの方はまだ多くいらっしゃると思いますが
脆弱性対策は大丈夫でしょうか?
この脆弱性を悪用された場合、
・Webサーバー内の情報を盗み取られる
・特定ファイルを操作される
・Webアプリを一時的に使用不可状態にされる
・Javaコードが含む場合、任意のコードが実行される
などの可能性があります!
▼IPA 7/15更新 Apache Struts2 の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
NRI OpenStandiaでは、すでにEOLのApache Struts 1.xを独自サポートし、
お客様に安心してApache Struts1.xを継続利用いただくために、
この脆弱性対策に関する修正プログラム提供のサービスを実施しています。
まずはお気軽にお問い合わせください。
[対象バージョン]
・Apache Struts:1.0.x 1.1.x 1.2.x 1.3.x
▼OpenStandia Apache Struts 1.x脆弱性対策サービス
http://openstandia.jp//oss_info/struts/apachestruts-patch.html?mm=83_1
▼Apache Struts1.xの修正プログラムに関する詳細および
年間保守サービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html?mm=83_2
ということで、IPAが最近更新したとのことなので、見てみましょう
ここ
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
1.X系の対策として(斜体は上記サイトより引用)
Apache Struts 1 系
脆弱性の解消 - アップデート
サードバーティが提供する情報をもとに、アップデートを検討ください。
Red Hat Customer Portal
https://rhn.redhat.com/errata/RHSA-2014-0474.html
Apache Struts 1.2.9 with SP1 by TERASOLUNA
http://sourceforge.jp/projects/terasoluna/wiki/StrutsPatch1-JP
は、いいとして、7月15日の更新は?
2014年7月15日 JPCERT/CC、IPA が共同で運用する JVN にて、Apache Struts 1 に起因する S2Struts の脆弱性について対策情報を公表
IPAが、公表されている情報をもとに本ページを更新(5回目)
を、S2Strutsですか、・・・とうとうSeaserにまで・・・
詳しくは
JVN#19118282
S2Struts において ClassLoader が操作可能な脆弱性
http://jvn.jp/jp/JVN19118282/index.html
を参照してください。