Apache Struts1（アパッチ ストラッツワン）の脆弱性対策向けにTERASOLUNA®Server Framework for Java用パッチを提供

株式会社NTTデータ（以下：NTTデータ）は、オープンソースソフトウエア（OSS）であるApache Struts1（アパッチ ストラッツワン）の脆弱性対策パッチの開発を完了し、本日4月28日からNTTデータおよびNTTデータグループの提供システム向けに適用を開始しました。なお、本脆弱性への対策を施した、無償版TERASOLUNA^®（テラソルナ）Server Framework for Javaおよび対策パッチについては準備が整い次第提供を開始します。本パッチ適用により、現在公表されているApache Struts1のClassLoader^注1を操作される脆弱性に対処することが出来ます。

Struts1については、4月17日に公表されたApache Struts2の脆弱性と同様に、攻撃者が脆弱性を用いてClassLoaderを操作することで、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、ウェブアプリケーションを一時的に使用不可にすることができ、さらに攻撃者が操作したファイルにJava コードが含まれている場合、任意のコードが実行される可能性があることがわかっています^注2。

Struts1の作成元であるApacheソフトウェア財団は、2013年4月にApache Struts1のサポートを終了し、以降のメンテナンスを行わない旨を表明しています。同ソフトウェア財団からの対策パッチの提供は予定されていません。

NTTデータではStruts1を、NTTデータグループにおけるシステム開発で使用しているTERASOLUNA Server Framework for Javaにおいて利用しています。新バージョンであるApache Struts2がStruts1と根本的に構造が異なり、アップデートが容易ではないため、多くのシステムがStruts1を利用して動作している事を受け、NTTデータではTERASOLUNA Server Framework for Javaを使用しているシステムを対象に、継続して独自にStruts1のサポートをしていくこととしています。

NTTデータでは今回のStruts1脆弱性に対し、以下のとおり対策パッチの提供を開始します。

NTTデータでは、Apache Struts2脆弱性の発見以後、TERASOLUNA Server Framework for Javaへの影響有無について調査を開始し、Struts1においても同様の脆弱性が存在することを確認しました。以降、セキュリティー技術者に限定した対策本部を設置し、脆弱性についての詳細調査・対処策検討を続けてきました。

本Struts1脆弱性に関する情報については、いたずらに被害が拡大する事が無いよう即時の情報開示は控え、対策パッチを用いた確実な対処策の実行が確認できてから情報開示を行うこととしました^注3。