« トレイルランは不参加 | トップページ | 弁当作りこの1年 »

2017.03.30

Apache Struts2脆弱性

3月初旬に「Apache Struts 2」に脆弱性 のニュースが流れたので自分の理解できる範囲で資料をまとめました。サイト管理者はある程度知るべき知識です。

20170330zeijaku

◎Apache(アパッチ)は広く普及してるwebサーバ。
◎webサーバとは...webページの配給所とでも言いましょう。
◎Apache Struts(アパッチ・ストラッツ)は Apacheのオマケ的なもので、Java Webアプリケーションフレームワーク。 wikipedia - Apache Struts日本語解説あり。
◎今回2017年、脆弱性が見つかったのは「Apache Struts 2」の 脆弱性「CVE-2017-5638」(S2-045)   「Apache Struts 2」脆弱性を狙う攻撃 - 情報収集からボット感染狙いまで 本文中、「細工したHTTPリクエストを受けると、サーバ上で任意のコードが実行されるおそれがあると説明。」とのこと。かなり深刻なもの。
◎(情報処理推進機構の解説)更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)   「 Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。」
◎ WAFとは。キヤノン説明 WAFとは?本文中「WAF(ワフ)はWeb Application Firewallの略で、Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。」とあり、WAFとファイヤウォールの役割の違いも説明。WAFの製品の一つがSiteGuard。
◎SiteGuardとは。 株式会社ジェイピー・セキュアの製品。WAFの一種。
◎管理者が取るべき対処。 JP-Secure アラート・セキュリティ情報 Apache Struts2の脆弱性(S2-045)を狙った攻撃 と、「SiteGuard」シリーズの対応 の方法を解説。
「SiteGuard LiteというWAFはとてもいいぞ」2017年3月26日記事。個人ブログ「Webセキュリティの小部屋」。さくら VPS で使えるSiteGuard Lite、本来は25万円、さくらVPSなら無料で使えるという点を指摘。
さくらインターネット (WAF)の設定の注意書きには、「CGI、PHPプログラムの動作に影響が出る恐れがあります。」とあるので、WordPressで運営しているサイトや、PHP利用の予約システムなどは、WAF有効にした後に動作確認が必要と思います。

(追記。WAF の3週間後の結果は2017.4.19記事「サイバー攻撃を経験」で書きました。)

|

« トレイルランは不参加 | トップページ | 弁当作りこの1年 »

コメント

コメントを書く



(ウェブ上には掲載しません)




« トレイルランは不参加 | トップページ | 弁当作りこの1年 »