■概要
Apache Software Foundation が提供する Apache Struts は，Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです．
Apache Struts のバージョン 2.0.0 から 2.3.16.1 には，ClassLoader を操作される脆弱性が存在します．

本脆弱性に対応した Apache Struts 2.3.16.2 が公開されました．

IPA によると，この脆弱性を攻撃するコードが公開されているという情報提供があり，再現検証を実施した結果，次のような脆弱性が判明しています．

• ClassLoader が操作可能です
• Apache Struts が動作しているサーバ上で，遠隔の第三者によって，情報を窃取されたり，任意のコードを実行されたりするなどの可能性があります

なお，本脆弱性と同様の脆弱性が，Apache Struts 1 系にも存在するという注意喚起がセキュリティベンダから発表されています．
Apache Struts 1 系のサポートは 2013 年 3 月に終了しているため，Apache Struts 2 による再構築をご検討ください．

■対象
- Apache Struts のバージョン 2.0.0 から 2.3.16.1
- Apache Struts 1 系（サポート終了）

■対策
アップデートする
Apache Struts 2.3.16.2 にアップデートしてください．

■関連文書
The Apache Software Foundation.
Announcements - 2013 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
Download a Release of Apache Struts
Security Bulletins S2-020

JVN.
JVN#19294237 Apache Struts において ClassLoader が操作可能な脆弱性
JVNDB-2014-001603 Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性

株式会社ラック
Apache Struts 2の脆弱性が，サポート終了のApache Struts 1にも影響 ～国内でいまだ大量稼働するStruts 1利用企業に，直ちに緩和策を～