Apache Struts2 の脆弱性対策情報一覧 Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

Apache Struts2 の脆弱性対策情報一覧
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

【外部リンク】
Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html
4. 脆弱性対策情報一覧

下記の脆弱性対策情報一覧は、「Apache Struts 2」が対象で、ASFが公開する情報（※4）を元に作成しています。
表中の「影響を受けるバージョン」のStrutsを使用している場合は、速やかにアップデートを実施してください。なお、「脆弱性悪用」は国内で悪用が確認されたと報道されたものをマークしています。必ずしも全ての攻撃が網羅されているわけではありませんし、国内での報道がなくても海外で攻撃されている場合もあります。

表 「Apache Struts」の脆弱性対策情報一覧
番号 脆弱性 影響を受けるバージョン 攻撃コード、POC 脆弱性悪用
S2-001 任意のコードを実行される脆弱性 2.0.0 - 2.0.8 有
S2-002 クロスサイト・スクリプティングの脆弱性 2.0.0 - 2.0.11 有
S2-003 任意のコードを実行される脆弱性 2.0.0 - 2.0.11.2 有
S2-004 ディレクトリ・トラバーサルの脆弱性 2.0.0 - 2.0.11.2
S2-005 オブジェクト保護メカニズムを回避される脆弱性 2.0.0 - 2.1.8.1 有 ●1
●2
S2-006 クロスサイト・スクリプティングの脆弱性 2.0.0 - 2.2.1.1
S2-007 任意のコードを実行される脆弱性 2.0.0 - 2.2.3 有
S2-008 複数の脆弱性 2.1.0 - 2.3.1 有
S2-009 任意のコードを実行される脆弱性 2.0.0 - 2.3.1.1 有 ●1
S2-010 クロスサイト・リクエスト・フォージェリの脆弱性 2.0.0 - 2.3.4
S2-011 サービス運用妨害（DoS）の脆弱性 2.0.0 - 2.3.4
S2-012 Showcase App において任意のコードを実行される脆弱性 Showcase App 2.0.0 - 2.3.13 有
S2-013 任意のコマンドを実行される脆弱性 2.0.0 - 2.3.14 有
S2-014 複数の脆弱性 2.0.0 - 2.3.14.1 有
S2-015 複数の脆弱性 2.0.0 - 2.3.14.2 有
S2-016 任意のコマンドを実行される脆弱性 2.0.0 - 2.3.15 有 ●1
●2
S2-017 オープンリダイレクトの脆弱性 2.0.0 - 2.3.15 有
S2-018 アクセス制御を回避される脆弱性 2.0.0 - 2.3.15.2
S2-019 DMI がデフォルトで無効になっている問題 2.0.0 - 2.3.15.1 有
S2-020 複数の脆弱性 2.0.0 - 2.3.16 有 ●1
●2
S2-021 ClassLoader を操作される脆弱性 2.0.0 - 2.3.16.1 有 ●1
●2
S2-022 ClassLoader を操作される脆弱性 2.0.0 - 2.3.16.2 ●1
S2-023 CSRF 保護メカニズムを回避される脆弱性 2.0.0 - 2.3.16.3 有
S2-024 アプリケーションの内部状態に対するセキュリティ侵害の脆弱性 2.3.20
S2-025 クロスサイト・スクリプティングの脆弱性 2.0.0 - 2.3.16.3
S2-026 内部オブジェクトを不正に操作される脆弱性 2.0.0 - 2.3.24
S2-027 任意のコードを実行される脆弱性 2.0.0 - 2.3.16.3
S2-028 クロスサイト・スクリプティングの脆弱性 2.0.0 - 2.3.24.1
S2-029 任意のコードを実行される脆弱性 2.0.0 - 2.3.24.1 (except 2.3.20.3) 有
S2-030 クロスサイト・スクリプティングの脆弱性 2.0.0 - 2.3.24.1
S2-031 任意のコードを実行される脆弱性 2.0.0 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-032 任意のコードを実行される脆弱性 2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3) 有 ●1
●2
●3
S2-033 任意のコードを実行される脆弱性 2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3) 有
S2-034 サービス運用妨害 (DoS) の脆弱性 2.0.0 - 2.3.24.1
S2-035 不正なペイロードを作成できてしまう問題 2.0.0 - 2.3.28.1
S2-036 任意のコードを実行される脆弱性 2.0.0 - 2.3.28.1
S2-037 任意のコードを実行される脆弱性 2.3.20 - 2.3.28.1 有
S2-038 クロスサイト・リクエスト・フォージェリの脆弱性 2.3.20 - 2.3.28.1
S2-039 Getter メソッドにおける検証回避の脆弱性 2.3.20 - 2.3.28.1
S2-040 入力値検証の回避の脆弱性 2.3.20 - 2.3.28.1
S2-041 サービス運用妨害 (DoS) の脆弱性 2.3.20 - 2.3.28.1 and 2.5
S2-042 パス・トラバーサルの脆弱性 2.3.20 - 2.3.30
S2-043 Config Browser plugin から設定情報を閲覧できる問題 Any Struts 2 version
S2-044 サービス運用妨害 (DoS) の脆弱性 2.5 - 2.5.5
S2-045 任意のコードを実行される脆弱性 2.3.5 - 2.3.31
2.5 - 2.5.10 有 ●1
●2
●3
●4
S2-046 Jakarta Multipart パーサに関する脆弱性(S2-045と同様) 2.3.5 - 2.3.31
2.5 - 2.5.10

【外部リンク】
https://www.jpcert.or.jp/at/2017/at170009.html
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
最終更新: 2017-03-21
各位
                                                   JPCERT-AT-2017-0009
                                                             JPCERT/CC
                                                      2017-03-09(新規)
                                                      2017-03-21(更新)

                  <<< JPCERT/CC Alert 2017-03-09 >>>

           Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170009.html

【外部リンク】
https://struts.apache.org/docs/security-bulletins.html
S2-001 — Remote code exploit on form validation error
S2-002 — Cross site scripting (XSS) vulnerability on <s:url> and <s:a> tags
S2-003 — XWork ParameterInterceptors bypass allows OGNL statement execution
S2-004 — Directory traversal vulnerability while serving static content
S2-005 — XWork ParameterInterceptors bypass allows remote command execution
S2-006 — Multiple Cross-Site Scripting (XSS) in XWork generated error pages
S2-007 — User input is evaluated as an OGNL expression when there's a conversion error
S2-008 — Multiple critical vulnerabilities in Struts2
S2-009 — ParameterInterceptor vulnerability allows remote command execution
S2-010 — When using Struts 2 token mechanism for CSRF protection, token check may be bypassed by misusing known session attributes
S2-011 — Long request parameter names might significantly promote the effectiveness of DOS attacks
S2-012 — Showcase app vulnerability allows remote command execution
S2-013 — A vulnerability, present in the includeParams attribute of the URL and Anchor Tag, allows remote command execution
S2-014 — A vulnerability introduced by forcing parameter inclusion in the URL and Anchor Tag allows remote command execution, session access and manipulation and XSS attacks
S2-015 — A vulnerability introduced by wildcard matching mechanism or double evaluation of OGNL Expression allows remote command execution.
S2-016 — A vulnerability introduced by manipulating parameters prefixed with "action:"/"redirect:"/"redirectAction:" allows remote command execution
S2-017 — A vulnerability introduced by manipulating parameters prefixed with "redirect:"/"redirectAction:" allows for open redirects
S2-018 — Broken Access Control Vulnerability in Apache Struts2
S2-019 — Dynamic Method Invocation disabled by default
S2-020 — Upgrade Commons FileUpload to version 1.3.1 (avoids DoS attacks) and adds 'class' to exclude params in ParametersInterceptor (avoid ClassLoader manipulation)
S2-021 — Improves excluded params in ParametersInterceptor and CookieInterceptor to avoid ClassLoader manipulation
S2-022 — Extends excluded params in CookieInterceptor to avoid manipulation of Struts' internals
S2-023 — Generated value of token can be predictable
S2-024 — Wrong excludeParams overrides those defined in DefaultExcludedPatternsChecker
S2-025 — Cross-Site Scripting Vulnerability in Debug Mode and in exposed JSP files
S2-026 — Special top object can be used to access Struts' internals
S2-027 — TextParseUtil.translateVariables does not filter malicious OGNL expressions
S2-028 — Use of a JRE with broken URLDecoder implementation may lead to XSS vulnerability in Struts 2 based web applications.
S2-029 — Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution.
S2-030 — Possible XSS vulnerability in I18NInterceptor
S2-031 — XSLTResult can be used to parse arbitrary stylesheet
S2-032 — Remote Code Execution can be performed via method: prefix when Dynamic Method Invocation is enabled.
S2-033 — Remote Code Execution can be performed when using REST Plugin with ! operator when Dynamic Method Invocation is enabled.
S2-034 — OGNL cache poisoning can lead to DoS vulnerability
S2-035 — Action name clean up is error prone
S2-036 — Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution (similar to S2-029)
S2-037 — Remote Code Execution can be performed when using REST Plugin.
S2-038 — It is possible to bypass token validation and perform a CSRF attack
S2-039 — Getter as action method leads to security bypass
S2-040 — Input validation bypass using existing default action method.
S2-041 — Possible DoS attack when using URLValidator
S2-042 — Possible path traversal in the Convention plugin
S2-043 — Using the Config Browser plugin in production
S2-044 — Possible DoS attack when using URLValidator
S2-045 — Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.
S2-046 — Possible RCE when performing file upload based on Jakarta Multipart parser (similar to S2-045)