関係ないと思っていたんだが, Apache Struts の脆弱性。

投稿アップデート情報  追記(4/28) ~ 追記8(2017/9/6)

 関係ないと思っていたんだが,大いに関係あるらしいワ, Apache Struts の脆弱性!! 発端は,「Struts 2」でって話だったんだが,「Struts 1」にも同様の脆弱性があるらしいという話になった。

 そんでもって,なんと,[「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日(4月30日,復旧のお知らせがリリースされ,サービス停止のお知らせは消えた。アーカイブ版として,うちに保存していた分にリンクを貼っておく。こんなのだった。)]は,「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと,「確定申告,済みました?」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は,問題なかったのでありましょうか?そう思いたい。提出のため国税庁に送信,ってことをしなければ,大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね,もしもし,国税庁様っ!!

 まあ,「Struts」の今回の脆弱性は,「Struts 2」にもあるから,どうしようもないが,天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて,こういう事態が発生したら,すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ,前記のごとく,今回は「Struts 2」にしても問題は全く解決しない。

 「Struts」の件,本当にどうなるのかネ。「Struts」って,種類としては,Webアプリケーションフレームワークってことらしいが,外部からではインストールされているかどうかの診断は,なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合,strutsって名前のディレクトリなりファイルなりができるようだから,サーバ内をローカルで調べてみるといいらしいよ。でもって,見つかった場合は,どうするかっていうと,こんなところ

 出来るもんなら,関連サービス停止してアンインストしてしまったほうがいいんだろうが……。

追記(4/28):
 出ましたよ。 S2-021Struts 2.3.16.2 へ,緊急にアップグレードしてくれになっている。といいつつ,同ページに,一応,それができない場合の回避策も,書かれているけど。

 しかしなあ,今度は大丈夫かね。前回も, S2-020 の直後に, exploit が出回ったみたいだからなあ。

 それと,「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外,自分で exploit に対応できる実力がないなら,サクッと使用をあきらめたほうがいいかもよ。

追記2(5/7):
 えっと,さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……

追記3(2016/4/28):
 アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら,ピンと跳ね上がりましてん。でも, DMI(Dynamic Method Invocation) って,今どき,デフォでオフでないの?って思ったけど,本記事を書いたときも,古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!

追記4(2017/3/14):

 昨年末より,さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが,アクセスログを見ると,この古い記事に結構あちらこちらから訪問者がいらっしゃる。で,本日重い腰を上げてこの追記。まぁ, twitter ではつぶやきもしたんですがね。こんなの☟。

 今回の脆弱性は, CVE-2017-5638 というやつで, Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて,別のを使っているよということなら,回避できてることになる。
 あるいはすでに Fix 済みの新バージョンが出ているので,それにアップデートする。 2.3 系なら 2.3.32 に, 2.5 系なら 2.5.10.1 に更新すればよいということらしい。

 最近は,新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。

追記5(3/17):
 「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が 実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

追記6(3/21):
 S2-046PoC が GitHub に出てます。

追記7(3/24):
 Apache Struts 2 Exploit Analysis の記事を見たので,それも含めて,ツイートをリンク。

追記8(9/6):
 また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。