インフラエンジニアは人間じゃない

インフラエンジニアのブログ。毎日19:00更新。

Apache Struts2の脆弱性が発表!確認、対策方法は?VMwareへの影響は?

皆さん、おはようございます。

インフラエンジニアのねるです。

 

Apache Struts2脆弱性が発表された!

 

DoS攻撃のイラスト

ということで、今回はApache Struts2脆弱性の確認、対策方法を話していきます。

さらには、インフラエンジニア向けということで、VMwareへの影響についてもです。

 

 

1.Apache Struts2脆弱性の確認、対策方法は? 

 今回の脆弱性の影響範囲は、Apache Struts2の下記のバージョンです。

  ・Struts 2.1.2 ~ Struts 2.3.33

  ・Sturts 2.5 ~ Struts 2.5.12

 

 Apache Struts2のバージョンを確認する方法は、下記の通りです。

 

  ・/WEB-INF/lib 配下の struts2-core-2.x.x.x.jarファイルのxxx部分

 

 Windowsならfindコマンド、Linuxならlsでgrepをかけると探しやすいと思います。

 

 対策方法はApache Struts2のVerUP、またはRESTプラグインを使用しない事です。

 どちらも影響が大きいとは思いますが、セキュリティリスクへの対策を優先することを推奨します。

 開発環境でテストをした上で、本番機のApache Struts 2のバージョンをあげましょう。

2.Apache Struts2 VMwareへの影響は?

 今回のApache Strutus 2の脆弱性の影響をVMware vSphereは受けません。

 理由としては脆弱性のあるRESTプラグインを使用していないからです。

 これはVMwareのKBでも公開されている情報です。

 

<参考リンク:VMware KB Apache Struts2への対応について>

VMware Response to CVE-2017-9805, CVE-2017-12611, and CVE-2017-9793 in Apache Struts (2151608) | VMware KB

 

という事で、今回はApache Struts2脆弱性対応についてでした。

早急に対応をしましょう。感染してからでは、遅いです。

 

当サイトに掲載されている広告について
当サイトでは、第三者配信の広告サービス(Googleアドセンス、Amazonアソシエイト、楽天アフィリエイト)を利用しています。
このような広告配信事業者は、ユーザーの興味に応じた商品やサービスの広告を表示するため、当サイトや他サイトへのアクセスに関する情報 『Cookie』(氏名、住所、メール アドレス、電話番号は含まれません) を使用することがあります。
またGoogleアドセンスに関して、このプロセスの詳細やこのような情報が広告配信事業者に使用されないようにする方法については、こちらをクリックしてください。

当サイトが使用しているアクセス解析ツールについて
当サイトでは、Googleによるアクセス解析ツール「Googleアナリティクス」を利用しています。
このGoogleアナリティクスはトラフィックデータの収集のためにCookieを使用しています。
このトラフィックデータは匿名で収集されており、個人を特定するものではありません。
この機能はCookieを無効にすることで収集を拒否することが出来ますので、お使いのブラウザの設定をご確認ください。
この規約に関して、詳しくはこちら、またはこちらをクリックしてください。

当サイトへのコメントについて
当サイトでは、スパム・荒らしへの対応として、コメントの際に使用されたIPアドレスを記録しています。
これはブログの標準機能としてサポートされている機能で、スパム・荒らしへの対応以外にこのIPアドレスを使用することはありません。
また、メールアドレスとURLの入力に関しては、任意となっております。
全てのコメントは管理人である東海ねるが事前にその内容を確認し、承認した上での掲載となりますことをあらかじめご了承下さい。
加えて、次の各号に掲げる内容を含むコメントは管理人の裁量によって承認せず、削除する事があります。

特定の自然人または法人を誹謗し、中傷するもの。
極度にわいせつな内容を含むもの。
禁制品の取引に関するものや、他者を害する行為の依頼など、法律によって禁止されている物品、行為の依頼や斡旋などに関するもの。
その他、公序良俗に反し、または管理人によって承認すべきでないと認められるもの