Tenable ブログ
ブログ通知を受信するApache Struts、FileUploadライブラリのリモートコード実行の脆弱性(CVE-2016-1000031)を修正
Apache Software Foundationは、リモートでコードが実行される可能性のあるCommons FileUploadライブラリの脆弱性に対処するため、Apache Strutsのセキュリティ更新プログラムを発表しました。 今すぐ、更新プログラムを適用することをお勧めします。
背景
11月5日、Apache Software Foundation(ASF)は、Apache Strutsプロジェクト管理者にCVE-2016-1000031についてのセキュリティ情報を公開しました。 これは、2016年にTenableの研究チームによって最初に報告されたCommons FileUploadライブラリの脆弱性です。このライブラリはApache Struts 2の一部として提供され、ファイルアップロードのデフォルトのメカニズムとして使用されています。ASFはApache Struts 2.3.36以前が脆弱であると報告しています。 攻撃者は、この脆弱性を利用して、脆弱なバージョンのApache Strutsを実行している一般公開されているWebサイトでリモートでコードを実行する可能性があります。
脆弱性の詳細
この脆弱性の詳細については、Tenable ResearchアドバイザリーのApache Commons FileUploadのDiskFileItemでファイルを操作される、およびリモートでコードを実行される脆弱性が発見 (LOBSTER)を参照してください。
緊急措置が必要
ASFは、Apache Strutsバージョン2.5.12以上には、パッチされたファイルバージョンであるcommons-fileuploadライブラリ1.3.3が含まれていることを確認しています。可能であれば、Apache Strutsプロジェクト管理者は2.5.12以上にアップグレードする必要があります。また、ASFは、WEB-INF / libパスのJARファイルを修正されたバージョンに置き換えるだけで、すでにインストールされているプロジェクトにパッチされたcommons-fileuploadライブラリをドロップできると報告しています。MavenベースのStrutsプロジェクトは、以下の依存関係を追加することでこの脆弱性に対処できます。
<dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.3</version> </dependency>
影響を受けているシステムの特定
この脆弱性を特定するためのNessusプラグイン一覧はこちらです。
詳細はこちら:
- Struts 2.3.36以前を実行している場合、すぐにcommons-fileuploadをバージョン1.3.3にアップグレードしてください
- CVE-2016-1000031の詳細情報
- Tenable Researchアドバイザリー: Apache Commons FileUploadのDiskFileItemでファイルを操作される、およびリモートでコードを実行される脆弱性が発見
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
関連記事
- Vulnerability Management
- Vulnerability Scanning