関係ないと思っていたんだが,大いに関係あるらしいワ, Apache Struts の脆弱性!! 発端は,「Struts 2」でって話だったんだが,「Struts 1」にも同様の脆弱性があるらしいという話になった。
そんでもって,なんと,[「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日(4月30日,復旧のお知らせがリリースされ,サービス停止のお知らせは消えた。アーカイブ版として,うちに保存していた分にリンクを貼っておく。こんなのだった。)]は,「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと,「確定申告,済みました?」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は,問題なかったのでありましょうか?そう思いたい。提出のため国税庁に送信,ってことをしなければ,大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね,もしもし,国税庁様っ!!
まあ,「Struts」の今回の脆弱性は,「Struts 2」にもあるから,どうしようもないが,天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて,こういう事態が発生したら,すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ,前記のごとく,今回は「Struts 2」にしても問題は全く解決しない。
「Struts」の件,本当にどうなるのかネ。「Struts」って,種類としては,Webアプリケーションフレームワークってことらしいが,外部からではインストールされているかどうかの診断は,なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合,strutsって名前のディレクトリなりファイルなりができるようだから,サーバ内をローカルで調べてみるといいらしいよ。でもって,見つかった場合は,どうするかっていうと,こんなところ。
出来るもんなら,関連サービス停止してアンインストしてしまったほうがいいんだろうが……。
追記(4/28):
出ましたよ。 S2-021 。 Struts 2.3.16.2 へ,緊急にアップグレードしてくれになっている。といいつつ,同ページに,一応,それができない場合の回避策も,書かれているけど。
しかしなあ,今度は大丈夫かね。前回も, S2-020 の直後に, exploit が出回ったみたいだからなあ。
それと,「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外,自分で exploit に対応できる実力がないなら,サクッと使用をあきらめたほうがいいかもよ。
追記2(5/7):
えっと,さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……
追記3(2016/4/28):
アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら,ピンと跳ね上がりましてん。でも, DMI(Dynamic Method Invocation) って,今どき,デフォでオフでないの?って思ったけど,本記事を書いたときも,古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!
昨年末より,さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが,アクセスログを見ると,この古い記事に結構あちらこちらから訪問者がいらっしゃる。で,本日重い腰を上げてこの追記。まぁ, twitter ではつぶやきもしたんですがね。こんなの☟。
さぼってばかりなので,アクセス数も激減なのですが,一昨日あたりから,急に20~50数が増えたと思ったら,これ関連でした。すっかり忘れていましたが,https://t.co/msXDxJzLx3←これがありますもんで。
去年も4月にポコンと増えたんでした。— Uehara Hide (@o6asan) March 10, 2017
今回の脆弱性は, CVE-2017-5638 というやつで, Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて,別のを使っているよということなら,回避できてることになる。
あるいはすでに Fix 済みの新バージョンが出ているので,それにアップデートする。 2.3 系なら 2.3.32 に, 2.5 系なら 2.5.10.1 に更新すればよいということらしい。
最近は,新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。
ニュース解説 – 150万サイトが被害、WordPressを狙った改ざんの教訓:ITpro https://t.co/OJQVnsP6vt
— Uehara Hide (@o6asan) March 7, 2017
追記5(3/17):
「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が 実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
追記6(3/21):
S2-046 の PoC が GitHub に出てます。
追記7(3/24):
Apache Struts 2 Exploit Analysis の記事を見たので,それも含めて,ツイートをリンク。
関連ニュースで,プラグインが出たり https://t.co/0YqUyz37e7 ,Exploit Analysis が出たり https://t.co/FpE72qLo1j 。
当たり前だろうが,まだまだいろいろ続くんだろうナ。Apache Struts 2 の脆弱性の件。— Uehara Hide (@o6asan) March 24, 2017
追記8(9/6):
また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。
【セキュリティ ニュース】「Apache Struts 2」の脆弱性、悪用コードが公開済み – 関連機関が注意喚起(1ページ目 / 全1ページ):Security NEXT https://t.co/RvoAbEXsyb
— Uehara Hide (@o6asan) September 6, 2017
「関係ないと思っていたんだが, Apache Struts の脆弱性。」への2件の返信
こんにちは
ieの脆弱性について何か書いてらっしゃるかと思い来て見ました。flashplayerもなんかでていましたね。
jpcertはつながらないので、ipa
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html
4月は色々脆弱性がでましたね。
くりくりさん,こんばんは。
黄金週間は,いかがですか。もう,突入されているんですか。
> 4月は色々脆弱性がでましたね。
なんか,おなかいっぱいです。
> jpcertはつながらないので、ipa
えっ,何でつながらないんですか。なんかありましたか。現時点(ほぼ45分後)で,うちからはつながりました。
> ieの脆弱性について何か書いてらっしゃるかと思い来て見ました。
いやいや,興味ある部分だけを書き散らしている程度なので,とても全部は。ほんと,おなかいっぱいですから。
今回のIEの脆弱性は, http://gigazine.net/news/20140428-retire-windows-xp-vulnerability-on-ie/ の件ですよね。「IEのFlashプラグインを無効にすることが有効な対策」となってて,ふいちゃったんですが,今どきのようにどこをのぞいても動画が絡んでくるようだと,フラッシュ関係のものは,鬱陶しいですねぇ。
> flashplayerもなんかでていましたね。
これ,juneさんとこで,「[今すぐダウンロード]のボタンがない」という話が出ていたのですが,今は改善されてるんでしょうか。
ところで,MyJVNのチェッカって,昔いちゃもんのメールだしたことあるんですよ。なにしろJREのインストールがいるもんですからね。そのころのJREって,そっとバックグラウンドでインストールされてて,しかも,アップデートの連絡も来なかった頃です。そのうえ,そのころのMyJVNのチェッカが,最新のadobe flash playerが入っているのに,認識してくれませんでして。「一般人が使うのに便利なようにするのなら,もう少しちゃんとサポートしてください」とメールしたんです。なんか,お詫びが来ましたが,内容は言い訳でしたねぇ。今は,ちゃんとなってるのだろうか。
今どき,検証のためだけに,ジャバジャバのJRE入れる気にもなりませんが……(苦笑)
MyJVNだと,いろいろと一括してのバージョン確認ができるところがミソなんですが,adobe flash playerだけだったら,ipaのページにも記載のある,下記のオフィシャルのほうがいい気がします。
Adobe Flash Player のバージョンテスト
こっちも,昔は一覧のバージョンが,出たばかりの最新プラグインのバージョンになっていないことがありましたが,最近はほぼ大丈夫なようです。