Apache Struts1(アパッチ ストラッツワン)の脆弱性に対応した無償版TERASOLUNA® Server Framework for Javaを公開

お知らせ

2014年5月23日

株式会社NTTデータ

株式会社NTTデータ(以下:NTTデータ)は、5月23日からオープンソースソフトウエア(OSS)であるApache Struts1(アパッチ ストラッツワン)の脆弱性に対応した、無償版TERASOLUNA®(テラソルナ)Server Framework for JavaをSourceforge(オープンソース開発ポータル)ダウンロードサイトを通じて公開します。無償版TERASOLUNA Server Framework for Javaには、Apache Struts1の脆弱性に対応したApache Struts 1.2.9が含まれます。本ソフトウエアを利用することで、現在公表されているApache Struts1のClassLoader注1を操作される脆弱性に対処することができます。

Struts1の脆弱性について

Struts1については、4月17日に公表されたApache Struts2の脆弱性と同様に、攻撃者が脆弱性を用いてClassLoaderを操作することで、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、ウェブアプリケーションを一時的に使用不可にすることができ、さらに攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性があることがわかっています注2

Struts1の作成元であるApacheソフトウェア財団は、2013年4月にApache Struts1のサポートを終了し、以降のメンテナンスを行わない旨を表明しています。同ソフトウェア財団からの対策パッチの提供は予定されていません。

提供ソフトウエアについて

NTTデータでは、4月28日からNTTデータおよびNTTデータグループの提供システム向けに、本脆弱性対策パッチを提供してきました。今回、本脆弱性に対応した無償版TERASOLUNA Server Framework for Javaの提供準備が整いましたので公開を開始します。なお、今回公開する無償版TERASOLUNA Server Framework for Javaには、本脆弱性に対応したApache Struts 1.2.9が含まれます。

無償版TERASOLUNA Server Framework for Java

脆弱性対応版Apache Struts 1.2.9 by TERASOLUNA

TERASOLUNA Server Framework for Java 2.0.5.2に含まれる脆弱性対応版Apache Struts 1.2.9を、単体で公開するものです。

  • 今回公開するプログラムの利用については、NTTデータによるサポートの対象外となります。各自の判断・責任において利用して下さい。

NTTデータのStruts1サポートへの基本的な考え方

NTTデータではStruts1を、NTTデータグループにおけるシステム開発で使用しているTERASOLUNA Server Framework for Javaにおいて利用しています。新バージョンであるApache Struts2がStruts1と根本的に構造が異なり、アップデートが容易ではないため、現在も多くのシステムがStruts1を利用して動作しています。これを受け、NTTデータではTERASOLUNA Server Framework for Javaを使用しているシステムを対象に、継続して独自にStruts1のサポートをしていくこととしています。

今回、本脆弱性の社会的影響度に鑑み、脆弱性に対応した無償版TERASOLUNA Server Framework for Javaを提供することとしました。

注釈

  • 「TERASOLUNA」は日本国内における株式会社NTTデータの登録商標です。
  • その他の商品名、会社名、団体名は、各社の商標または登録商標です。

本件に関するお問い合わせ先

報道関係のお問い合わせ先

株式会社NTTデータ
広報部
戸田、古場
TEL:03-5546-8051

本脆弱性への対策に関するお問い合わせ先

株式会社NTTデータ
技術開発本部
TERASOLUNA FW(Struts1)脆弱性対応窓口
E-mail:terasoluna-struts1-ml@rd.nttdata.co.jp

NTTデータおよびNTTデータグループ提供のシステムをご利用のご担当者の方は、各営業担当者へお問い合わせください。