Apache Software Foundationは2016年6月2日に脆弱性情報 S2-033と修正版を公開しました。ここでは関連情報をまとめます。
Apache 公開情報
脆弱性概要
対象 | Apache Struts2 |
---|---|
CVE | CVE-2016-3087 |
影響 | Possible RCE |
重要度 | High |
PoC | PoCは6/3時点で確認できず。 |
CVSS(v3) | 4.3(Base) at Cisco 6.8 (base) at Redhat |
発見者 | Alvaro Munoz氏(@pwntester) |
脆弱性情報
- 2016/05/31 CVE-2016-3087 - Red Hat Customer Portal
- 2016/06/02 【预警通告】Struts2再爆远程代码执行漏洞(S2-033)
- 2016/06/02 Struts2远程代码执行漏洞(S2-033)技术分析与防护方案
脆弱性の影響
Remote Code Execution can be performed when using REST Plugin with ! operator when Dynamic Method Invocation is enabled.
https://struts.apache.org/docs/s2-032.html
影響範囲
- 2.3.20 〜 2.3.28(2.3.20.3、2.3.24.3は対象外。)
攻撃前提条件「DMIの有効化」が必要
struts.enable.DynamicMethodInvocation = false
対策
アップデート、またはDMIの無効化で対応可能。
2016年4月のS2-032で影響を受けるバージョン以前が今回も影響を受けるものであり、既に最新バージョンへ更新している場合、対応は不要。
DMIを無効化する
struts.enable.DynamicMethodInvocation = false