SiteGuardを活用したApache Strutsの脆弱性対策

Apache Strutsに深刻な脆弱性


多くの企業が使っている、Java WebアプリケーションフレームワークのApache Strutsに深刻な脆弱性が
見つかっております。(2014年4月)

詳細は 以下の記事をご覧ください。
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

影響と一般的な対策


Java WebアプリケーションをApache Strutsで構築されているお客さまは

・ファイルシステムの破壊Apache-Struts
・ファイル操作
・バックドアの設置
・ウェブアプリケーションを一時的に使用不可に

など様々な被害を受ける恐れがあります。

対策のご検討をお願いいたします。

既にサポートの終了している「Apache Struts 1」にも同様の脆弱性が存在するという 報告がございます。 対策につきましては、IPA(独立行政法人 情報処理推進機構)より以下の対策、回避策が公開されております。

【対策1】
・ 脆弱性が修正された Apache Struts 2.3.16.2 にアップデートする。

【回避策1】
・ params インターセプターへの参照を独自に記述している場合、
excludeParams を適切に設定する
・ defaultStack を使用している場合、 excludeParams を適切に設定した
スタックを使用するよう変更する

【回避策2】
・本脆弱性に対応したシグネチャを搭載した WAF や IPS 等のネットワーク機器で
攻撃リクエストを遮断する。

SiteGuardを活用したシンプルな対策


前 述の対策情報は確認しているものの「すぐに最新版へのアップデートが難しい」や 「すぐに対応策としてWAFの導入は難しい」とのお話しも頂いております。 そのようなお客様にはApache Strutsの脆弱性対策にWAF『SiteGuard』シリーズをご提案します。

「SiteGuard」シリーズでは、本脆弱性に関 する情報を確認後、現時点で確認できている 攻撃パターンについて、攻撃を検出・遮断することができます。 パートナーである株式会社ジェイピー・セキュア様にご協力いただき、 緊急の脆弱性対応が難しいお客様を支援することを目的と致しております。

「SiteGuard」の製品紹介は以下をご覧ください。
https://www.si-jirei.jp/secure/SiteGuard/

siteguard

各カテゴリへ

事例集

  1. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…
  2. 以下の通り、Office365導入事例「プライム・ストラテジー株式会社」を公開しました。興味がある方…
  3. 以下の通り、 Protect Cat導入事例「イー・ガーディアン株式会社」を公開しました。興味がある…
  4. 某消費財メーカー24時間稼働監視・維持保守・運用支援事例を公開しました。 24時間365日の有…
  5. 「KUSANAGI」導入で表示速度UP、Webサイトアクセス数が約20%増加「ディーアイエスソリュー…

コラム

最新事例

  1. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…
  2. 以下の通り、Office365導入事例「プライム・ストラテジー株式会社」を公開しました。興味がある方…
  3. 以下の通り、 Protect Cat導入事例「イー・ガーディアン株式会社」を公開しました。興味がある…

ログインステータス

ログインしていません。
ページ上部へ戻る