関係ないと思っていたんだが,大いに関係あるらしいワ, Apache Struts の脆弱性!! 発端は,「Struts 2」でって話だったんだが,「Struts 1」にも同様の脆弱性があるらしいという話になった。
そんでもって,なんと,[「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日(4月30日,復旧のお知らせがリリースされ,サービス停止のお知らせは消えた。アーカイブ版として,うちに保存していた分にリンクを貼っておく。こんなのだった。)]は,「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと,「確定申告,済みました?」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は,問題なかったのでありましょうか?そう思いたい。提出のため国税庁に送信,ってことをしなければ,大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね,もしもし,国税庁様っ!!
まあ,「Struts」の今回の脆弱性は,「Struts 2」にもあるから,どうしようもないが,天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて,こういう事態が発生したら,すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ,前記のごとく,今回は「Struts 2」にしても問題は全く解決しない。
「Struts」の件,本当にどうなるのかネ。「Struts」って,種類としては,Webアプリケーションフレームワークってことらしいが,外部からではインストールされているかどうかの診断は,なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合,strutsって名前のディレクトリなりファイルなりができるようだから,サーバ内をローカルで調べてみるといいらしいよ。でもって,見つかった場合は,どうするかっていうと,こんなところ。
出来るもんなら,関連サービス停止してアンインストしてしまったほうがいいんだろうが……。
追記(4/28):
出ましたよ。 S2-021 。 Struts 2.3.16.2 へ,緊急にアップグレードしてくれになっている。といいつつ,同ページに,一応,それができない場合の回避策も,書かれているけど。
しかしなあ,今度は大丈夫かね。前回も, S2-020 の直後に, exploit が出回ったみたいだからなあ。
それと,「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外,自分で exploit に対応できる実力がないなら,サクッと使用をあきらめたほうがいいかもよ。
追記2(5/7):
えっと,さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……
追記3(2016/4/28):
アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら,ピンと跳ね上がりましてん。でも, DMI(Dynamic Method Invocation) って,今どき,デフォでオフでないの?って思ったけど,本記事を書いたときも,古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!
昨年末より,さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが,アクセスログを見ると,この古い記事に結構あちらこちらから訪問者がいらっしゃる。で,本日重い腰を上げてこの追記。まぁ, twitter ではつぶやきもしたんですがね。こんなの☟。
さぼってばかりなので,アクセス数も激減なのですが,一昨日あたりから,急に20~50数が増えたと思ったら,これ関連でした。すっかり忘れていましたが,https://t.co/msXDxJzLx3←これがありますもんで。
去年も4月にポコンと増えたんでした。— Uehara Hide (@o6asan) March 10, 2017
今回の脆弱性は, CVE-2017-5638 というやつで, Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて,別のを使っているよということなら,回避できてることになる。
あるいはすでに Fix 済みの新バージョンが出ているので,それにアップデートする。 2.3 系なら 2.3.32 に, 2.5 系なら 2.5.10.1 に更新すればよいということらしい。
最近は,新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。
ニュース解説 – 150万サイトが被害、WordPressを狙った改ざんの教訓:ITpro https://t.co/OJQVnsP6vt
— Uehara Hide (@o6asan) March 7, 2017
追記5(3/17):
「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が 実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
追記6(3/21):
S2-046 の PoC が GitHub に出てます。
追記7(3/24):
Apache Struts 2 Exploit Analysis の記事を見たので,それも含めて,ツイートをリンク。
関連ニュースで,プラグインが出たり https://t.co/0YqUyz37e7 ,Exploit Analysis が出たり https://t.co/FpE72qLo1j 。
当たり前だろうが,まだまだいろいろ続くんだろうナ。Apache Struts 2 の脆弱性の件。— Uehara Hide (@o6asan) March 24, 2017
追記8(9/6):
また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。
【セキュリティ ニュース】「Apache Struts 2」の脆弱性、悪用コードが公開済み – 関連機関が注意喚起(1ページ目 / 全1ページ):Security NEXT https://t.co/RvoAbEXsyb
— Uehara Hide (@o6asan) September 6, 2017