GitHub - SecureSkyTechnology/study-struts2-s2-054_055-jackson-cve-2017-7525_cve-2017-15095: Struts2ã®è„†å¼±æ€§S2-045, S2-055 ãŠã‚ˆã³ Jackson ã®è„†å¼±æ€§ CVE-2017-7525, CVE-2017-15095 ã®èª¿æŸ»å ±å‘ŠYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Apache Struts 2 ã®è„†å¼±æ€§ (S2-048) ã«é–¢ã™ã‚‹æ³¨æ„å–šèµ· | JPCERTコーディãƒãƒ¼ã‚·ãƒ§ãƒ³ã‚»ãƒ³ã‚¿ãƒ¼ï¼ˆJPCERT/CC)
å„ä½ JPCERT-AT-2017-0025 JPCERT/CC 2017-07-10(æ–°è¦) 2017-07-11(æ›´æ–°) <<< JPCERT/CC Alert 2017-07-10 >>> Apache Struts 2 ã®è„†å¼±æ€§ (S2-048) ã«é–¢ã™ã‚‹æ³¨æ„å–šèµ· https://www.jpcert.or.jp/at/2017/at170025.html I. æ¦‚è¦ Apache Software Foundation ã¯ã€2017å¹´7月7æ—¥ (米国時間) ã« Apache Struts 2 ã®è„†å¼±æ€§ (CVE-2017-9791) ã«é–¢ã™ã‚‹æƒ…å ± (S2-048) を公開ã—ã¾ã—ãŸã€‚ 2.3 系㮠Apache Struts 2 ã«å«ã¾ã‚Œã‚‹ Struts 1 Plugin を用ã„ã¦ã„ã‚‹ Struts アプリケーションã«ãŠã„ã¦ã€å…¥åŠ›å€¤ã‚’é©åˆ‡ã«å‡¦ç†ã—ãªã‹ã£ãŸå ´åˆã«ã€ 本脆弱性ã®å½±éŸ¿ã‚’å—
ãŠçŸ¥ã‚‰ã›&イベント | Apache Struts2ã®è„†å¼±æ€§ã‚’悪用ã—ãŸä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã«ã¤ã„㦠| NICT-æƒ…å ±é€šä¿¡ç ”ç©¶æ©Ÿæ§‹
NICTユニãƒãƒ¼ã‚µãƒ«ã‚³ãƒŸãƒ¥ãƒ‹ã‚±ãƒ¼ã‚·ãƒ§ãƒ³ç ”究所ã§ã¯ã€Apache Struts2ã®è„†å¼±æ€§ã®å…¬è¡¨ã‚’è¸ã¾ãˆã¦ã€3月13日(月)以é™ã€NICTãŒä½œæˆã—ãŸéŸ³å£°å¯¾è©±ç ”究用ã®ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢é–‹ç™ºã‚ット(MCML音声インタラクションSDK)を外部ã®ç ”究者ç‰ã«æä¾›ã™ã‚‹å…¬é–‹ã‚µãƒ¼ãƒã®é‹ç”¨ã‚’åœæ¢ã—ã¦ã„ã¾ã™ã€‚ ãã®å¾Œã®å†…部調査ã«ã‚ˆã‚Šã€å½“該サーãƒã¯å¤–部ã‹ã‚‰éžå¸¸ã«æ—©ã„段階ã«ä¸æ£ã«ã‚¢ã‚¯ã‚»ã‚¹ã‚’å—ã‘ã¦ãŠã‚Šã€ã‚µãƒ¼ãƒã®ä¸ã«ã€åˆ©ç”¨è€…ã®IDã€ãƒ¡ãƒ¼ãƒ«ã‚¢ãƒ‰ãƒ¬ã‚¹ã€æš—å·åŒ–ã•ã‚ŒãŸãƒ‘スワードã®æƒ…å ±ãŒå«ã¾ã‚Œã¦ã„ã‚‹ã“ã¨ãŒã€5月1日(月)付ã‘ã§åˆ¤æ˜Žã—ã¾ã—ãŸã€‚
ã´ã‚é‹å–¶ã‚µã‚¤ãƒˆä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã€Struts2ã®è„†å¼±æ€§ã¯ã€ŒS2-045ã€
ã´ã‚ã¯åŒç¤¾ãŒé‹å–¶å—託ã—ã¦ã„るプãƒãƒã‚¹ã‚±ãƒƒãƒˆãƒœãƒ¼ãƒ«ãƒªãƒ¼ã‚°ã€ŒB.LEAGUEã€é–¢é€£ã®WebサイトãŒä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã‚’å—ã‘ãŸå•é¡Œã§ã€åŽŸå› ã¨ãªã£ãŸã€ŒApache Struts2ã€ã®è„†å¼±æ€§ã®è˜åˆ¥åãŒã€3月9æ—¥ã«å…¬é–‹ã•ã‚ŒãŸã€ŒS2-045ã€ã§ã‚ã‚‹ã¨æœ¬èªŒå–æã«å›žç”ã—ãŸã€‚ ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã‚’å—ã‘ãŸã®ã¯ã€B.LEAGUEãƒã‚±ãƒƒãƒˆã‚µã‚¤ãƒˆã¨ãƒ•ã‚¡ãƒ³ã‚¯ãƒ©ãƒ–å—付サイトã®ã‚µãƒ¼ãƒãƒ¼ã 。B.LEAGUEãƒã‚±ãƒƒãƒˆã‚µã‚¤ãƒˆã¯ãƒ›ãƒƒãƒˆãƒ•ã‚¡ã‚¯ãƒˆãƒªãƒ¼ã€ãƒ•ã‚¡ãƒ³ã‚¯ãƒ©ãƒ–å—付サイトã¯ããょã†å±‹ã‚½ãƒ•ãƒˆãŒã€ã´ã‚ã®ç™ºæ³¨ã‚’å—ã‘ã¦æ§‹ç¯‰ã—ãŸã€‚両サイトã§ã¯Struts2を使用ã—ã¦ãŠã‚Šã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã§ãã‚‹S2-045ã¨ã„ã†è„†å¼±æ€§ã‚’悪用ã•ã‚ŒãŸã€‚ ã´ã‚ã¯3月25æ—¥ã«ä¸¡ã‚µã‚¤ãƒˆã«ãŠã‘ã‚‹å…¨ã¦ã®ã‚¯ãƒ¬ã‚¸ãƒƒãƒˆã‚«ãƒ¼ãƒ‰æ±ºæ¸ˆæ©Ÿèƒ½ã‚’åœæ¢ã—ã€èª¿æŸ»ä¼šç¤¾ã®Payment Card Forensics(PCF)ã«è©³ç´°ãªèª¿æŸ»ã‚’ä¾é ¼ã—ãŸã€‚4月10æ—¥ã®PCFã‹ã‚‰ã®ä¸é–“å ±å‘Šã§ã€ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã‚’å—ã‘ã¦ã„ãŸã“
Apache Strutsã®è„†å¼±æ€§ã«æ”»æ’ƒã‚’仕掛ã‘ã‚‹ãƒãƒƒã‚ングツールã¨WebShell |
トレンドマイクãƒã®è„…å¨ãƒªã‚µãƒ¼ãƒéƒ¨é–€ã§ã‚るフォワードルッã‚ングスレットリサーãƒã§ã¯ã€ã€ŒApache Struts(アパッãƒãƒ»ã‚¹ãƒˆãƒ©ãƒƒãƒ„)ã€ãŒæŠ±ãˆã‚‹ä¸€é€£ã®è„†å¼±æ€§ã«å¯¾ã—ã¦æ”»æ’ƒã‚’仕掛ã‘ã‚‹ãƒãƒƒã‚ングツールãŒæµé€šã—ã¦ã„ã‚‹ã“ã¨ã‚’確èªã—ã¾ã—ãŸã€‚ Apache Struts ã¨ã¯ã€Apacheソフトウェア財団㮠Apache Strutsプãƒã‚¸ã‚§ã‚¯ãƒˆã«ã¦é–‹ç™ºã•ã‚Œã¦ã„るオープンソース㮠Java Webアプリケーションフレームワークã§ã™ã€‚2013å¹´7月16æ—¥ã«ã€æ·±åˆ»ãªè„†å¼±æ€§ã‚’ä¿®æ£ã™ã‚‹ã‚¢ãƒƒãƒ—デート「Struts 2.3.15.1ã€ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¦ã„ã¾ã™ã€‚ ã“ã“ã§ã„ã†æ·±åˆ»ãªè„†å¼±æ€§ã¨ã¯ã€ã‚¢ãƒ—リケーションサーãƒã®å®Ÿè¡Œæ¨©é™ã§ä»»æ„ã® OS コマンドãŒå®Ÿè¡Œå¯èƒ½ã¨ãªã‚‹ã‚‚ã®ã§ã™ã€‚一般ã«ãƒãƒƒã‚ング行為㯠6ã¤ã®æ®µéšŽã‚’経ã¦è¡Œã‚れるã¨ã•ã‚Œã¦ã„ã¾ã™ã€‚「フェーズ1:åµå¯Ÿã€ã€ã€Œãƒ•ã‚§ãƒ¼ã‚º2:スã‚ャンã€ã€ã€Œãƒ•ã‚§ãƒ¼ã‚º3:アクセス権ã®ç²å¾—ã€ã€ã€Œãƒ•
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
å†ç™ºé˜²æ¢å§”員会ã®èª¿æŸ»å ±å‘Šç‰ã«é–¢ã™ã‚‹ãŠçŸ¥ã‚‰ã› | GMOãƒšã‚¤ãƒ¡ãƒ³ãƒˆã‚²ãƒ¼ãƒˆã‚¦ã‚§ã‚¤æ ªå¼ä¼šç¤¾
{{#tags}}- {{label}}
{{/tags}}