SpringのRCE脆弱性(CVE-2022-22965)について

2022/04/11 5 users spring RCE脆弱性 RCE リモート Java

はじめに Log4jやStruts2など、Java製ソフトウェアにおいてリモートからの任意のコード実行(RCE)の脆弱性が目立つ時代になってしまっていますが、これにさらにSpringも加わってきました。この記事では特にCVE-2022-22965に焦点を当て、技術的な視点からの解説を行ってみます。 なぜJavaアプリでRCEとなるのか? Javaの(特... 続きを読む

「Struts2」の脆弱性を突かれた2年前の事件、日本中で情報流出相次ぐ | 日経 xTECH（クロステック）

2019/07/26 16 users Webアプリケーションフレームワーク Java xTech

本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。 JavaのWebアプリケーションフレームワーク「Apache Struts2」に2017年3月6日、外部から不正にサーバーを操れる脆弱性が... 続きを読む

GitHub - SecureSkyTechnology/study-struts2-s2-054_055-jackson-cve-2017-7525_cve-2017-15095: Struts2の脆弱性S2-045, S2-055 および Jackson の脆弱性 CVE-2017-7525, CVE-2017-15095 の調査報告

2017/12/05 40 users GitHub Jackson セキュリティアップデート 筆者

2017年12月1日にStruts2のセキュリティアップデートが公開されました。 公開前からJackson(Javaで人気のあるJSONライブラリ)の脆弱性が関連している、という話がメーリングリストに流れており、社内システムやツールでJacksonを利用している筆者も具体的にどのような内容か気にしていました。 https://lists.apache.org/thread.html/ed74083... 続きを読む

ニュース - Struts 2にまたも深刻な脆弱性、至急対応を：ITpro

2017/09/06 10 users ITpro Critical IPA Java 至急対応

Apacheソフトウエア財団は米国時間2017年9月5日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」の脆弱性を公表した。IPA（独立行政法人 情報処理推進機構）やJPCERTコーディネーションセンターが注意を喚起している。危険度は最高の「Critical」であり、最新のStruts2に至急、アップデートする必要がある。 この脆弱性を放置したサーバーに攻撃者が悪... 続きを読む

ニュース - またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害：ITpro

2017/04/25 29 users ITpro 漏洩 被害 カード番号 ニュース

ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した。原因は同サイトに使っている「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれるという。 不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー... 続きを読む

総務省サイトから2.3万人分の個人情報流出か--Struts2の脆弱性を悪用 - CNET Japan

2017/04/14 18 users 悪用 脆弱性 CNET Japan 個人情報流出

総務省は4月13日、政府統計の総合窓口（e-Stat）の機能である「地図による小地域分析（jSTAT MAP）」において、第三者による不正アクセスが判明したほか、同機能に登録された情報が漏えいしたと 発表 した。 jSTAT MAPは、インターネット上で利用できる統計データと地図を組み合わせて小地域分析に特化した地理情報システム。アプリケーションフレームワークである「Apache Struts2」... 続きを読む

ニュース - 総務省、Struts2の脆弱性を突かれて2.3万人の個人情報流出か：ITpro

2017/04/13 67 users 職業 年代 性別 氏名 jSTAT MAP

総務省は2017年4月13日、Webサイトの「地図による小地域分析（jSTAT MAP）」から最大で2万3000人分の個人情報が流出した可能性があると公表した。サイトは4月11日正午に停止し、再開時期は未定という。 流出した恐れがある個人情報は、サイト利用登録時に必須項目である氏名、メールアドレス、職業、会社名/学校名、利用目的。加えて、任意入力項目である電話番号、性別、年代、住所、具体的利用目的... 続きを読む

SiteGuard Lite(WAF)がStruts2の脆弱性S2-045,046に迅速に対応していた | Webセキュリティの小部屋

2017/04/03 18 users WAF piyolog SiteGuard Lite 脆弱性

自分のサイトの WAF (Web Application Firewall) を SiteGuard Lite にしていたので、情報を調べていたところ、巷で問題になっている Struts 2 の脆弱性である S2-045、S2-046 に関する情報を見つけました。 piyolog さんの情報によると、S2-045 の情報が公開されたのは2017年3月7日時点とのことです。S2-046の公開は201... 続きを読む

Struts2が危険である理由 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2017/03/27 483 users Scutum Struts セキュ スキュータム 筆者

はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「 例えば、Strutsを避ける 」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュ... 続きを読む

ニュース - JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害：ITpro

2017/03/24 27 users Webアプリケーションフレームワーク ITpro JINS

同社によれば、3月22日にWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用され、第三者による不正アクセスを確認したという。調査の結果、第三者が一定期間、個人情報にアクセスできる状況にあったことが判明した。 Struts2で任意のコードを実行できる脆弱性（S2-045、CVE-2017-5638）を悪用するサイバー攻撃は、他社でも相次いで判明している。同社デジタルコ... 続きを読む

ニュース - Struts2に新たな脆弱性、攻撃コードも公開される：ITpro

2017/03/21 22 users Webアプリケーションフレームワーク ITpro 識別子

Apache Software Foundationは2017年3月20日、開発を支援するWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を公開した。脆弱性の識別子は「S2-046」。3月9日に公開された脆弱性「S2-045」とは別の脆弱性だ。 Apache Software FoundationのApache Struts2に関するドキュメントを集めたポータルサイト「... 続きを読む

Struts2の脆弱性 CVE-2017-5638 (S2-045)についてまとめてみた - piyolog

2017/03/07 52 users リモート Apache Struts piyolog 脆弱性

2017年3月7日、Struts2にリモートから任意のコード実行可能な脆弱性が確認されたとして情報(S2-045)が公開されました。ここでは脆弱性の関連情報をまとめます。 脆弱性の概要 対象 Apache Struts2 CVE CVE-2017-5638 影響 RCE 重要度 High(Apache Struts) CVSS N/A PoC インターネット上に公開済 悪用の状況 攻撃観測情報あり... 続きを読む