Apache Struts2 취약점 대책에 대해 (CVE-2014-0094) (S2-020)

Apache Software Foundation에서 제공하는 Apache Struts는 Java 웹 응용 프로그램을 만들기위한 소프트웨어 프레임 워크입니다. Apache Struts 버전 2.0.0에서 2.3.16에는 ClassLoader를 조작 취약점이 존재 하여 2014 년 3 월에 대책 된 버전 2.3.16.1이 공개되었습니다.

이 취약점을 공격하는 코드가 공개되어 있다는 제보가있어, IPA로 재현 검증을 실시한 결과, 웹 응용 프로그램의 작동 권한 내에서 정보의 절취 나 특정 파일 작업 및 웹 응용 프로그램을 일시적으로 사용 불가능하게 할 수 있는지 확인했습니다. 또한 공격자가 조작 한 파일에 Java 코드가 포함되어있는 경우 임의의 코드가 실행될 수 있습니다.

악용 될 가능성이 높기 때문에 시급히 대책을 실시하십시오. 
또한, 본건은 NTT-CERT의 정보 제공을 바탕으로 IPA 분석 · 검증하여주의를 환기시킵니다.

그림 : 취약점을 악용 한 공격의 이미지

영향을받는 버전

• Apache Struts 2.0.0에서 2.3.16

버전 확인 방법 예제

Apache Struts 2를 사용하는 웹 애플리케이션의 / WEB-INF/lib 디렉토리를 열고 그 안의 struts2-core-2.xxxjar 파일 이름을 확인하십시오. 
2.xxx 부분이 이용하고있는 Struts 2 버전입니다.

대책

취약점의 해​​결 - 업데이트

Apache Software Foundation에서 대책 된 버전이다 2.3.16.1이 공개되어 있습니다. 조속한 업데이트를 검토하십시오.

download a 릴리스 of 아파치 Struts http://struts.apache.org/download.cgi

추천 정보

• Security Bulletins S2-020 http://struts.apache.org/release/2.3.x/docs/s2-020.html
  
• CVE-2014-0094 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094
  
• JVNDB-2014-001603 http://jvndb.jvn.jp/jvndb/JVNDB-2014-001603