2014年4月27日 – o6asan's soliloquy-part2

投稿アップデート情報　　追記(4/28)　～　追記８(2017/9/6)

　関係ないと思っていたんだが，大いに関係あるらしいワ， Apache Struts の脆弱性!! 発端は，「Struts 2」でって話だったんだが，「Struts 1」にも同様の脆弱性があるらしいという話になった。

　そんでもって，なんと，［「e-Taxソフト（WEB版）」、「確定申告書等作成コーナー」、「NISA（日本版ISA）コーナー」　サービス停止のお知らせ（重要）平成26年4月25日（４月30日，復旧のお知らせがリリースされ，サービス停止のお知らせは消えた。アーカイブ版として，うちに保存していた分にリンクを貼っておく。こんなのだった。）］は，「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと，「確定申告，済みました？」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は，問題なかったのでありましょうか？そう思いたい。提出のため国税庁に送信，ってことをしなければ，大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね，もしもし，国税庁様っ!!

　まあ，「Struts」の今回の脆弱性は，「Struts 2」にもあるから，どうしようもないが，天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて，こういう事態が発生したら，すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ，前記のごとく，今回は「Struts 2」にしても問題は全く解決しない。

　「Struts」の件，本当にどうなるのかネ。「Struts」って，種類としては，Webアプリケーションフレームワークってことらしいが，外部からではインストールされているかどうかの診断は，なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合，strutsって名前のディレクトリなりファイルなりができるようだから，サーバ内をローカルで調べてみるといいらしいよ。でもって，見つかった場合は，どうするかっていうと，こんなところ。

　出来るもんなら，関連サービス停止してアンインストしてしまったほうがいいんだろうが……。

追記(4/28)：
　出ましたよ。 S2-021 。 Struts 2.3.16.2 へ，緊急にアップグレードしてくれになっている。といいつつ，同ページに，一応，それができない場合の回避策も，書かれているけど。

　しかしなあ，今度は大丈夫かね。前回も， S2-020 の直後に， exploit が出回ったみたいだからなあ。

　それと，「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外，自分で exploit に対応できる実力がないなら，サクッと使用をあきらめたほうがいいかもよ。

追記２(5/7)：
　えっと，さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……

追記３(2016/4/28)：
　アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら，ピンと跳ね上がりましてん。でも， DMI(Dynamic Method Invocation) って，今どき，デフォでオフでないの？って思ったけど，本記事を書いたときも，古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!

追記４(2017/3/14)：

　昨年末より，さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが，アクセスログを見ると，この古い記事に結構あちらこちらから訪問者がいらっしゃる。で，本日重い腰を上げてこの追記。まぁ， twitter ではつぶやきもしたんですがね。こんなの☟。

さぼってばかりなので，アクセス数も激減なのですが，一昨日あたりから，急に20～50数が増えたと思ったら，これ関連でした。すっかり忘れていましたが，https://t.co/msXDxJzLx3←これがありますもんで。
去年も4月にポコンと増えたんでした。

— Uehara Hide (@o6asan) March 10, 2017

　今回の脆弱性は， CVE-2017-5638 というやつで， Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて，別のを使っているよということなら，回避できてることになる。
　あるいはすでに Fix 済みの新バージョンが出ているので，それにアップデートする。 2.3 系なら 2.3.32 に， 2.5 系なら 2.5.10.1 に更新すればよいということらしい。

　最近は，新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。

ニュース解説 – 150万サイトが被害、WordPressを狙った改ざんの教訓：ITpro https://t.co/OJQVnsP6vt

— Uehara Hide (@o6asan) March 7, 2017

追記５(3/17)：
　「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

追記６(3/21)：
　S2-046 の PoC が GitHub に出てます。

追記７(3/24)：
　Apache Struts 2 Exploit Analysis の記事を見たので，それも含めて，ツイートをリンク。

関連ニュースで，プラグインが出たり https://t.co/0YqUyz37e7 ，Exploit Analysis が出たり https://t.co/FpE72qLo1j 。
当たり前だろうが，まだまだいろいろ続くんだろうナ。Apache Struts 2 の脆弱性の件。

— Uehara Hide (@o6asan) March 24, 2017

追記８(9/6)：
　また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。

【セキュリティニュース】「Apache Struts 2」の脆弱性、悪用コードが公開済み – 関連機関が注意喚起（1ページ目 / 全1ページ）：Security NEXT https://t.co/RvoAbEXsyb

— Uehara Hide (@o6asan) September 6, 2017