カテゴリー
everyday life

関係ないと思っていたんだが, Apache Struts の脆弱性。

投稿アップデート情報  追記(4/28) ~ 追記8(2017/9/6)

 関係ないと思っていたんだが,大いに関係あるらしいワ, Apache Struts の脆弱性!! 発端は,「Struts 2」でって話だったんだが,「Struts 1」にも同様の脆弱性があるらしいという話になった。

 そんでもって,なんと,[「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日(4月30日,復旧のお知らせがリリースされ,サービス停止のお知らせは消えた。アーカイブ版として,うちに保存していた分にリンクを貼っておく。こんなのだった。)]は,「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと,「確定申告,済みました?」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は,問題なかったのでありましょうか?そう思いたい。提出のため国税庁に送信,ってことをしなければ,大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね,もしもし,国税庁様っ!!

 まあ,「Struts」の今回の脆弱性は,「Struts 2」にもあるから,どうしようもないが,天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて,こういう事態が発生したら,すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ,前記のごとく,今回は「Struts 2」にしても問題は全く解決しない。

 「Struts」の件,本当にどうなるのかネ。「Struts」って,種類としては,Webアプリケーションフレームワークってことらしいが,外部からではインストールされているかどうかの診断は,なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合,strutsって名前のディレクトリなりファイルなりができるようだから,サーバ内をローカルで調べてみるといいらしいよ。でもって,見つかった場合は,どうするかっていうと,こんなところ

 出来るもんなら,関連サービス停止してアンインストしてしまったほうがいいんだろうが……。

追記(4/28):
 出ましたよ。 S2-021Struts 2.3.16.2 へ,緊急にアップグレードしてくれになっている。といいつつ,同ページに,一応,それができない場合の回避策も,書かれているけど。

 しかしなあ,今度は大丈夫かね。前回も, S2-020 の直後に, exploit が出回ったみたいだからなあ。

 それと,「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外,自分で exploit に対応できる実力がないなら,サクッと使用をあきらめたほうがいいかもよ。

追記2(5/7):
 えっと,さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……

追記3(2016/4/28):
 アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら,ピンと跳ね上がりましてん。でも, DMI(Dynamic Method Invocation) って,今どき,デフォでオフでないの?って思ったけど,本記事を書いたときも,古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!

追記4(2017/3/14):

 昨年末より,さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが,アクセスログを見ると,この古い記事に結構あちらこちらから訪問者がいらっしゃる。で,本日重い腰を上げてこの追記。まぁ, twitter ではつぶやきもしたんですがね。こんなの☟。

 今回の脆弱性は, CVE-2017-5638 というやつで, Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて,別のを使っているよということなら,回避できてることになる。
 あるいはすでに Fix 済みの新バージョンが出ているので,それにアップデートする。 2.3 系なら 2.3.32 に, 2.5 系なら 2.5.10.1 に更新すればよいということらしい。

 最近は,新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。

追記5(3/17):
 「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が 実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

追記6(3/21):
 S2-046PoC が GitHub に出てます。

追記7(3/24):
 Apache Struts 2 Exploit Analysis の記事を見たので,それも含めて,ツイートをリンク。

追記8(9/6):
 また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。

「関係ないと思っていたんだが, Apache Struts の脆弱性。」への2件の返信

くりくりさん,こんばんは。

黄金週間は,いかがですか。もう,突入されているんですか。

> 4月は色々脆弱性がでましたね。
なんか,おなかいっぱいです。

> jpcertはつながらないので、ipa
えっ,何でつながらないんですか。なんかありましたか。現時点(ほぼ45分後)で,うちからはつながりました。

> ieの脆弱性について何か書いてらっしゃるかと思い来て見ました。
いやいや,興味ある部分だけを書き散らしている程度なので,とても全部は。ほんと,おなかいっぱいですから。
今回のIEの脆弱性は, http://gigazine.net/news/20140428-retire-windows-xp-vulnerability-on-ie/ の件ですよね。「IEのFlashプラグインを無効にすることが有効な対策」となってて,ふいちゃったんですが,今どきのようにどこをのぞいても動画が絡んでくるようだと,フラッシュ関係のものは,鬱陶しいですねぇ。

> flashplayerもなんかでていましたね。
これ,juneさんとこで,「[今すぐダウンロード]のボタンがない」という話が出ていたのですが,今は改善されてるんでしょうか。
ところで,MyJVNのチェッカって,昔いちゃもんのメールだしたことあるんですよ。なにしろJREのインストールがいるもんですからね。そのころのJREって,そっとバックグラウンドでインストールされてて,しかも,アップデートの連絡も来なかった頃です。そのうえ,そのころのMyJVNのチェッカが,最新のadobe flash playerが入っているのに,認識してくれませんでして。「一般人が使うのに便利なようにするのなら,もう少しちゃんとサポートしてください」とメールしたんです。なんか,お詫びが来ましたが,内容は言い訳でしたねぇ。今は,ちゃんとなってるのだろうか。

今どき,検証のためだけに,ジャバジャバのJRE入れる気にもなりませんが……(苦笑)

MyJVNだと,いろいろと一括してのバージョン確認ができるところがミソなんですが,adobe flash playerだけだったら,ipaのページにも記載のある,下記のオフィシャルのほうがいい気がします。
Adobe Flash Player のバージョンテスト
こっちも,昔は一覧のバージョンが,出たばかりの最新プラグインのバージョンになっていないことがありましたが,最近はほぼ大丈夫なようです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です