Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
Apache Software Foundationから、2017年9月5日、9月7日に脆弱性を修正した最新版のバージョン情報が公開されました。
特に、公開された脆弱性(S2-052)(CVE-2017-9805)については対策をしていない場合、攻撃されやすいという事から多数の報道機関より注意喚起がでております。
今回表題の脆弱性情報を収集していた際に参考になった情報をまとめました。
※注意※
下記情報の中にPoC情報も記載しておりますが、こちらを試行する際はあくまでもクローズドな自環境で行うことを勧めます
Apache Software Foundationが公開した最新版情報
▼07 September 2017 - Struts 2.3.34 General Availability
http://struts.apache.org/announce.html#a20170907
▼05 September 2017 - Struts 2.5.13 General Availability
http://struts.apache.org/announce.html#a20170905
Apache Struts脆弱性番号
S2-052
【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある
【CVE番号】
CVE-2017-9805
【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン
【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー
Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 | セキュリティ対策のラック
Apache Strutsに新たな脆弱性「CVE-2017-9805」。企業は直ちに更新プログラムの適用を。 | トレンドマイクロ セキュリティブログ
CVE-2017-9805 - Red Hat Customer Portal
ニュース - Struts 2にまたも深刻な脆弱性、至急対応を:ITpro
Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia NEWS
Apache Strutsに重大な脆弱性 - アップデート推奨 | マイナビニュース
Apache Struts 2が更新--脆弱性は3件 - ZDNet Japan
「Apache Struts」に重大な脆弱性、広範に影響する恐れも--パッチ適用を - ZDNet Japan
Apache Struts 2 の脆弱性 S2-052(CVE-2017-9805)の攻撃通信を確認しました。一例ですが、wgetコマンドで外部のコンテンツの取得を試みています。脆弱性に該当する場合は、速やかにパッチを適用することを推奨いたします。
— NTTセキュリティ・ジャパン株式会社 (@NTTSec_JP) 2017年9月6日
【PoC情報】
Apache Struts 2.5 < 2.5.12 - REST Plugin XStream Remote Code Execution
S2-053
【概要】
Freemarkerのタグの処理に脆弱性が存在し、コーディングにおいて意図しない式を使用していた場合、リモートからコードを実行される可能性がある
【CVE番号】
CVE-2017-12611
【対象】
Apache Struts 2.0.1から2.3.33までのバージョン
Apache Struts 2.5から2.5.10までのバージョン
【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も(1ページ目 / 全1ページ):Security NEXT
「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate” -INTERNET Watch
CVE-2017-12611 - Red Hat Customer Portal
【PoC情報】
調査や検証系ブログまとめ
調査やPoC検証を行ったブログやレポートをまとめました。
Struts2のS2-052(CVE-2017-9805)脆弱性のPOCを検証する - conf t
Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する - conf t
今月のApache Strtus 2 のリモートコード実行の脆弱性(S2-052/S2-053) - 生産性のない話
Struts2の脆弱性とPoC(S2-052: CVE-2017-9805, S2-053: CVE-2017-12611) — | サイオスOSS | サイオステクノロジー
CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー
S2-052: CVE-2017-9805(Struts2) PoC with SELinux · OSSセキュリティ技術の会(Secure OSS SIG)
ちょっと関連性のあるブログ
表題の脆弱性が公開されるちょっと前に偶然(必然?)公開されたブログの内容も今回の脆弱性対策に繋がるものだと思ったので載せておきます。参考にしてみて下さい。
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
僕が調べたApacheバージョン判定の小ネタ - とある診断員の備忘録
以上です。
<2017/09/11 AM 新規作成>
<2017/09/14 AM 【調査や検証系ブログまとめ】の項目を追加>