インフラエンジニアは人間じゃない

インフラエンジニアの備忘録

Apache Struts2の脆弱性が発表!確認、対策方法は?VMwareへの影響は?

皆さん、おはようございます。

インフラエンジニアのねるです。

 

Apache Struts2脆弱性が発表された!

 

DoS攻撃のイラスト

ということで、今回はApache Struts2脆弱性の確認、対策方法を話していきます。

さらには、インフラエンジニア向けということで、VMwareへの影響についてもです。

 

 

1.Apache Struts2脆弱性の確認、対策方法は? 

 今回の脆弱性の影響範囲は、Apache Struts2の下記のバージョンです。

  ・Struts 2.1.2 ~ Struts 2.3.33

  ・Sturts 2.5 ~ Struts 2.5.12

 

 Apache Struts2のバージョンを確認する方法は、下記の通りです。

 

  ・/WEB-INF/lib 配下の struts2-core-2.x.x.x.jarファイルのxxx部分

 

 Windowsならfindコマンド、Linuxならlsでgrepをかけると探しやすいと思います。

 

 対策方法はApache Struts2のVerUP、またはRESTプラグインを使用しない事です。

 どちらも影響が大きいとは思いますが、セキュリティリスクへの対策を優先することを推奨します。

 開発環境でテストをした上で、本番機のApache Struts 2のバージョンをあげましょう。

2.Apache Struts2 VMwareへの影響は?

 今回のApache Strutus 2の脆弱性の影響をVMware vSphereは受けません。

 理由としては脆弱性のあるRESTプラグインを使用していないからです。

 これはVMwareのKBでも公開されている情報です。

 

<参考リンク:VMware KB Apache Struts2への対応について>

VMware Response to CVE-2017-9805, CVE-2017-12611, and CVE-2017-9793 in Apache Struts (2151608) | VMware KB

 

という事で、今回はApache Struts2脆弱性対応についてでした。

早急に対応をしましょう。感染してからでは、遅いです。