Apache Struts 2 の Parameters インターセプタの実装に起因するClassLoader を操作可能な脆弱性(Scan Tech Report) | ScanNetSecurity
2021.09.22(水)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 エクスプロイト 記事

Apache Struts 2 の Parameters インターセプタの実装に起因するClassLoader を操作可能な脆弱性(Scan Tech Report)

Apache Struts 2 の Parameters インターセプタには、class パラメータの処理に起因して ClassLoader を不正に操作されてしまう脆弱性が存在します。

脆弱性と脅威 エクスプロイト
1.概要
Apache Struts 2 の Parameters インターセプタには、class パラメータの処理に起因して ClassLoader を不正に操作されてしまう脆弱性が存在します。
悪意あるリモートの第三者に利用された場合、Apache Struts 2 上で動作するWeb アプリケーションを一時的にサービス不能状態にされる、あるいはシステム上で不正な操作が実行される可能性があります。
外部に公開する Web アプリケーションで Apache Struts 2 を利用する環境では、深刻な影響を受ける可能性があるため、影響を受けるバージョンの Apache Struts 2 を利用するユーザは速やかに以下に記載する対策を実施することを推奨します。


2.深刻度(CVSS)
5.0
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-0094&vector=%28AV:N/AC:L/AU:N/C:N/I:P/A:N%29


3.影響を受けるソフトウェア
Apache Struts 2.0.0 - 2.3.16


4.解説
Apache Struts は、Apache Software Foundation が提供する Web アプリケーションを構築するためのフレームワークであり、インターセプタと呼ばれる、
Action クラスの前後に処理を挟み込む機能が実装されています。その中の 1 つ、Parameters インターセプタ (ParametersInterceptor)※1 は、リクエストパラメータを制御することを目的としています。

Apache Struts 2 には、この Parameters インターセプタにおいて、class パラメータを適切にチェックせず、直接 getClass() メソッドへ渡してしまう不備があります。
このため、class.classLoader.* を含むリクエストを介して ClassLoader を不正に操作可能な脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、Apache Struts 2 上で動作する Web アプリケーションを一時的にサービス不能状態する、あるいは Apache Struts 2 を実行するユーザの権限で任意の Java コードが可能となります。

なお、公開されている攻撃手法では、ClassLoader を介して Apache Tomcat のアクセスログの出力先※2、ファイル名およびフォーマットを変更します。
その後、Java コードを含むリクエストを送信し、アクセスログに Java コードを書き込み、アクセスログを参照することによって、送信した Java コードを実行するという手法になります。

※1 http://struts.apache.org/development/2.x/docs/parameters-interceptor.html
※2 出力先は公開ディレクトリ、ファイル名は JSP ファイルに変更します。


5.対策
以下の Web サイトより、Apache Struts 2.3.16.1 以降を入手しアップデートすることで、この脆弱性を解消※3 することが可能です。

Apache Struts 2.3.16.1:
http://struts.apache.org/download.cgi

あるいは、設定ファイル struts-default.xml の excludeparams に ^class\.を追加し、ClassLoader を操作するために必要な文字列 "class." から始まる文字列がリクエストに含まれていた場合に拒否する設定にすることで、この脆弱性を緩和することが可能です。

※3 Apache Struts 2.3.16.1 におけるこの脆弱性に対する修正が不完全である可能性が Full Disclosure※4 で示唆されています。
このことにより、次期バージョン Apache Struts 2.3.17 では、Struts の github で公開される修正コード※5 が実装される予定です。

※4 http://seclists.org/fulldisclosure/2014/Mar/50
※5 https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック デジタルペンテストサービス部》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」にXSSの脆弱性 画像

EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」にXSSの脆弱性
Apache Tomcatにサービス運用妨害(DoS)の脆弱性 画像

Apache Tomcatにサービス運用妨害(DoS)の脆弱性
Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性 画像

Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性
マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件 画像

マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件
三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性 画像

三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性
Appleが複数のソフトウェアに関するセキュリティアドバイザリ公開 画像

Appleが複数のソフトウェアに関するセキュリティアドバイザリ公開

インシデント・事故 記事一覧へ

三立製菓への不正アクセスでシステム障害、情報流出は現時点では確認されず 画像

三立製菓への不正アクセスでシステム障害、情報流出は現時点では確認されず
早稲田システム開発のメールアカウントが迷惑メール送信の踏み台に、送信先は攻撃者が準備 画像

早稲田システム開発のメールアカウントが迷惑メール送信の踏み台に、送信先は攻撃者が準備
「こだわりふぐショップかぶやま」に不正アクセス、1年分の決済情報が流出 画像

「こだわりふぐショップかぶやま」に不正アクセス、1年分の決済情報が流出
静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に 画像

静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に
学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出 画像

学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出
海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出 画像

海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出

調査・レポート・白書 記事一覧へ

JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向 画像

JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向
「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認 画像

「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認
警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多 画像

警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多
ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説 画像

ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説
誤送付の原因、ヒューマンエラーが大半を占める 画像

誤送付の原因、ヒューマンエラーが大半を占める
Deep Instinct「2021年上半期 脅威レポート」公開、マルウェアは2019年と比較し800%増加 画像

Deep Instinct「2021年上半期 脅威レポート」公開、マルウェアは2019年と比較し800%増加

研修・セミナー・カンファレンス 記事一覧へ

「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案 画像

「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案
VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint 画像

VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint
ドメイン名ハイジャック対応、日本企業のベストプラクティス事例 画像

ドメイン名ハイジャック対応、日本企業のベストプラクティス事例
中高生の保護者や教員を対象にSNS安全利用Webシンポジウム開催 画像

中高生の保護者や教員を対象にSNS安全利用Webシンポジウム開催
破綻したモグラたたき ~ サイバーリーズンが考える攻撃可視化の重要性 画像

破綻したモグラたたき ~ サイバーリーズンが考える攻撃可視化の重要性
LogStareとセキュアヴェイル、セキュリティリスクを分析する実践型のログ分析ウェビナーを開催 画像

LogStareとセキュアヴェイル、セキュリティリスクを分析する実践型のログ分析ウェビナーを開催

製品・サービス・業界動向 記事一覧へ

2021年冬に「NetStare」リニューアル、新たにEDR製品のログ分析サービスをオプション追加 画像

2021年冬に「NetStare」リニューアル、新たにEDR製品のログ分析サービスをオプション追加
LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い 画像

LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い
理経、災害時に避難者を瞬時に確認できる「顔認証を利用した安否確認システム」販売 画像

理経、災害時に避難者を瞬時に確認できる「顔認証を利用した安否確認システム」販売
大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得 画像

大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得
クロスポイントとサイバーリーズン協業「X-SOC for Cybereason」提供 画像

クロスポイントとサイバーリーズン協業「X-SOC for Cybereason」提供
理経、RADIUS認証など複数の認証方法をサポートした米国Nomadix社「EG1000」販売開始 画像

理経、RADIUS認証など複数の認証方法をサポートした米国Nomadix社「EG1000」販売開始

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×