Apache Struts2의 취약성 대책 정보 목록

1. 개요

"Apache Struts (※ 1) '은 웹 응용 프로그램을 개발하기위한 소프트웨어 프레임 워크에서 Apache Software Foundation (이후 ASF)에서 볼 수 있습니다. 일본 국내에서는 웹 사이트 구축에 매우 많이 이용되고 있으며, 그 결과 "Apache Struts」에서 구축 된 웹 사이트는 상당수 존재하는 것으로 간주합니다.

웹 사이트는 인터넷에 일단 공개하면 365 일 24 시간 언제 어디서나 액세스가 가능합니다.

따라서 웹 사이트에 취약점이 존재하는 경우이를 방치하면 정보 유출 등의 피해를 입을 가능성도 있습니다. 이러한 사태를 방지하기 위해 ASF보다 "Apache Struts」의 수정 패치가 공개 된 경우에는 즉시 패치를 적용해야합니다. 

또한이 페이지에서 대상으로하는 것은 "Apache Struts 2"입니다. "Apache Struts 1"은 이미 2013 년 4 월 5 일 보존으로 지원이 종료하고 있기 때문에 대상에서 제외하고 있습니다.

2. 대상자

웹 사이트를 구축하는 시스템 구축 사업자 (이후 SIer)의 활용을 상정하고 있습니다. 구축 한 또는 운용 보수중인 시스템에서 "Apache Struts"를 사용하는 경우, 해당 취약점 대책 정보의 유무를 아래 목록에서 확인하고 필요에 따라 업데이트하는 등의 조치를 수행 바랍니다.

3. 대책 : 업데이트

3.1 "Apache Struts"메인 프레임

"Apache Struts"취약점은 기본적으로 수정 패치 업데이트하지 해소하지 않습니다. 사전에 테스트를 실시하여 시스템이 제대로 작동하는지 확인하고, 업데이트를 실시하십시오.

2016 년 11 월 14 일 현재 최신 버전은 2.3.31와 2.5.5입니다.

3.2 "Apache Struts"라이브러리

"Apache Struts」에는 여러 부품과 같은 소프트웨어 제품 (라이브러리)가 포함되어 있습니다. 이러한 소프트웨어 제품에서도 취약점이 존재합니다 "Apache Struts」에서 구축 된 웹 사이트에도 그 영향이 미칠 가능성이 있습니다 (※ 2). 
따라서 어떤 라이브러리를 사용하고 있는지 파악, 관리를위한 목록 작성이 중요합니다. 
또한, 사용하는 라이브러리의 취약점 대책 정보의 유무는 JVN iPedia (※ 3) 등으로 확인 할 수 있습니다.

그림 Apache Struts 라이브러리를 사용하는 이미지

4. 취약점 대책 정보 목록

아래의 취약성 대책 정보 목록은 "Apache Struts 2 '가 대상 ASF가 공개하는 정보 (※ 4)를 바탕으로 작성하고 있습니다. 
표중의 "영향을받는 버전"의 Struts를 사용하는 경우에는 신속하게 업데이트를 실시하십시오. 덧붙여 "취약점 악용 '는 국내에서 악용이 확인되었다고 보도 된 것을 표시하고 있습니다. 반드시 모든 공격이 망라되어있는 것은 아니며, 국내에서의 보도가 없어도 해외에서 공격되는 경우도 있습니다.

표 "Apache Struts"취약점 정보 목록

번호	취약점	영향을받는 버전	공격 코드 POC	취약점 악용
S2-001	임의의 코드를 실행 취약점	2.0.0 - 2.0.8	유
S2-002	크로스 사이트 스크립팅 취약점	2.0.0 - 2.0.11	유
S2-003	임의의 코드를 실행 취약점	2.0.0 - 2.0.11.2	유
S2-004	디렉토리 탐색 취약점	2.0.0 - 2.0.11.2
S2-005	개체 보호 메커니즘을 우회하는 취약점	2.0.0 - 2.1.8.1	유	● 1  ● 2
S2-006	크로스 사이트 스크립팅 취약점	2.0.0 - 2.2.1.1
S2-007	임의의 코드를 실행 취약점	2.0.0 - 2.2.3	유
S2-008	여러 취약점	2.1.0 - 2.3.1	유
S2-009	임의의 코드를 실행 취약점	2.0.0 - 2.3.1.1	유	● 1
S2-010	크로스 사이트 요청 위조 취약점	2.0.0 - 2.3.4
S2-011	서비스 운영 방해 (DoS) 취약점	2.0.0 - 2.3.4
S2-012	Showcase App에서 임의의 코드를 실행 취약점	Showcase App 2.0.0 - 2.3.13	유
S2-013	임의의 명령을 실행 취약점	2.0.0 - 2.3.14	유
S2-014	여러 취약점	2.0.0 - 2.3.14.1	유
S2-015	여러 취약점	2.0.0 - 2.3.14.2	유
S2-016	임의의 명령을 실행 취약점	2.0.0 - 2.3.15	유	● 1  ● 2
S2-017	오픈 리디렉션 취약점	2.0.0 - 2.3.15	유
S2-018	액세스 제어를 우회 취약점	2.0.0 - 2.3.15.2
S2-019	DMI는 기본적으로 비활성화되어있는 문제	2.0.0 - 2.3.15.1	유
S2-020	여러 취약점	2.0.0 - 2.3.16	유	● 1  ● 2
S2-021	ClassLoader를 조작 취약점	2.0.0 - 2.3.16.1	유	● 1  ● 2
S2-022	ClassLoader를 조작 취약점	2.0.0 - 2.3.16.2		● 1
S2-023	CSRF 보호 메커니즘을 우회하는 취약점	2.0.0 - 2.3.16.3	유
S2-024	응용 프로그램의 내부 상태에 대한 보안 침해의 취약점	2.3.20
S2-025	크로스 사이트 스크립팅 취약점	2.0.0 - 2.3.16.3
S2-026	내부 개체를 Hotwire 취약점	2.0.0 - 2.3.24
S2-027	임의의 코드를 실행 취약점	2.0.0 - 2.3.16.3
S2-028	크로스 사이트 스크립팅 취약점	2.0.0 - 2.3.24.1
S2-029	임의의 코드를 실행 취약점	2.0.0 - 2.3.24.1 (except 2.3.20.3)	유
S2-030	크로스 사이트 스크립팅 취약점	2.0.0 - 2.3.24.1
S2-031	임의의 코드를 실행 취약점	2.0.0 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-032	임의의 코드를 실행 취약점	2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)	유	● 1  ● 2  ● 3
S2-033	임의의 코드를 실행 취약점	2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)	유
S2-034	서비스 운영 방해 (DoS) 취약점	2.0.0 - 2.3.24.1
S2-035	악성 페이로드를 생성 할 수 있기 문제	2.0.0 - 2.3.28.1
S2-036	임의의 코드를 실행 취약점	2.0.0 - 2.3.28.1
S2-037	임의의 코드를 실행 취약점	2.3.20 - 2.3.28.1	유
S2-038	크로스 사이트 요청 위조 취약점	2.3.20 - 2.3.28.1
S2-039	Getter 메소드의 검증 우회 취약점	2.3.20 - 2.3.28.1
S2-040	입력 값 검증 우회 취약점	2.3.20 - 2.3.28.1
S2-041	서비스 운영 방해 (DoS) 취약점	2.3.20 - 2.3.28.1 and 2.5
S2-042	경로 탐색 취약점	2.3.20 - 2.3.30
S2-043	Config Browser plugin 구성 정보를 열람 할 수있는 문제	Any Struts 2 version

참고 자료 

• ※ 1 Apache Software Foundation : Welcome to the Apache Struts project 
  https://struts.apache.org/
• ※ 2 라이브러리의 취약점 예 : 
  http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000121.html
• ※ 3 JVN iPedia 취약점 대책 정보 데이터베이스 
  http://jvndb.jvn.jp/index.html
• ※ 4 https://struts.apache.org/docs/security-bulletins.html 을 취약점 정리