概要
Apache Struts 2において、以下の条件の両方を満たす場合に、リモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
- alwaysSelectFullNamespace を true に設定している場合
- Struts設定ファイルに、オプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する "action"タグまたは "url"タグが含まれている場合
影響のある製品
詳細
WebOTX Developer V9.2-9.4(with Developer's Studio のみ)ではApache Struts 2.3.16.3 を含んだサンプルを提供していますが、サンプル内のStruts設定ファイルにおいて alwaysSelectFullNameSpace を true に設定していない(Struts 2 の既定値:false)ため影響はありません。 また、WebOTX製品(および関連製品)において、上記のサンプルを除いてApache Struts 2は利用しておりません。
対処方法
回避方法
備考
ご利用のWebアプリケーションに脆弱性のあるApache Struts 2が含まれ、かつ上述の条件の両方を満たす場合は、 WebOTX Application Serverのバージョンに関係なく、該当のWebアプリケーションについて対策が必要となります。
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。