影響範囲が広がるApacheStruts2の脆弱性

　3月9日、Webアプリケーションフレームワーク「Apache Struts」の脆弱性を狙った攻撃に対する注意喚起が出ていたが（過去記事）、この脆弱性を狙った攻撃や実際の被害が多数報告されている。

　すでに特許情報プラットフォーム（過去記事）や都税支払いサイトおよび住宅金融支援機構（過去記事）、日本郵便（Security NEXT記事）などで問題の脆弱性を付いた攻撃が行われて情報流出が発生したことが報じられているが、これ以外にもニッポン放送の音声サービス「Radital」や（ニッポン放送の発表）や沖縄電力（発表PDF）などでも攻撃が確認されている。

　当初は「Content-Type」ヘッダを利用して攻撃ができるという話だったが、これ以外の「Content-Disposition」や「Content-Length」といったヘッダを利用した攻撃も可能であることも判明している（Securty NEXT）。また、今回の脆弱性の対応としてパーサーを変更するというものが提案されていたが、この対応を行った場合でも攻撃が可能であることが確認されており、確実な対策としては脆弱性を修正したバージョンにアップデートするしかないようだ（INTERNET Watch）。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
特許情報プラットフォーム、サービス停止の原因はApache Struts 2の脆弱性を狙った攻撃だった 2017年03月18日
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 2017年03月11日
Apache Struts 2にリモートからの任意コード実行を許す脆弱性 2017年03月09日