ウサギは後退せず、大きな耳で情報集めをする事に験を担ぎ、古来より日本では鎧などにウサギの図柄を取り入れてきたらしい。

うさブロ

ぼっちなうさぎのセキュリティラボ

Apache Struts 2 の脆弱性(CVE-2016-3081)について

概要

 Apache Struts 2 には、DMI(Dynamic Method Invocation)に起因している脆弱性が存在している。(CVE-2016-3081)

 この脆弱性が悪用された場合、リモートから第三者によって、サーバ上で任意のコードを実行される可能性がる。

f:id:appleseedj073:20160506163806p:plain*1

 

 TokyoSOCより、2016年4月26日7時から4月28日10時までに本脆弱性を狙ったと考えられる攻撃検知数の推移が公開されている。

f:id:appleseedj073:20160506164413j:plain*2

 攻撃の送信元としては中国、アメリカなどが挙げられると報告している。

影響の範囲

  • Apache Struts 2.3.20 から 2.3.28(2.3.20.3 および 2.3.24.3 を除く)

Apache Struts2のバージョン確認方法

 Windows

  dir /s /b struts2-core*.jar

 Linux

  find / -name struts2-core*.jar

  検索結果のstruts2-core*.jarのファイル名がバージョンになる。

 

対策

  • この脆弱性が修正されたバージョンへのアップデート
  • Dynamic Method Invocationの無効化

struts.xmlの中の「<constant name="struts.enable.DynamicMethodInvocation" value="false" />」を「false」にする)

 

攻撃検証

 

参考

 

*1:脆弱性を悪用した攻撃のイメージ(IPA

*2:Tokyo SOCにおけるApache Struts2の脆弱性(CVE-2016-3081/S2-032)に関連する検知数の推移(Tokyo SOC Report)