独立行政法人 情報処理推進機構(IPA)は7月26日、2016年第2四半期(4月から6月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は1,762件で、累計登録件数が61,309件となった。内訳は、国内製品開発者から収集したもの2件(公開開始からの累計は176件)、JVNから収集したもの206件(累計6,498件)、NVDから収集したもの1,554件(累計54,635件)となっている。また、件数が多かった脆弱性は、「CWE-119(バッファエラー)」353件、「CWE-20(不適切な入力確認)」176件、「CWE-264(認可・権限・アクセス制御)」170件、「CWE-200(情報漏えい)」165件、「CWE-79(クロスサイト・スクリプティング)」96件などとなっている。IPAでは製品開発者に対し、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努めることが求められるとしている。レポートでは注目情報として、「Apache Strutsの脆弱性対策情報について」を挙げている。今四半期は、Apache Strutsの脆弱性が15件登録され、このうち2件で遠隔の第三者から任意のコードを実行されるといった危険な攻撃コードを確認している。また、15件のうちApache Struts 1が影響を受ける脆弱性対策情報は2件であったが、すでに公式サポートが終了しているため、通常は脆弱性対策情報は公開されない。IPAでは、早急にApache Struts 2や他のフレームワークなどに切り替えることを検討する必要があるとしている。
Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)2016.5.26 Thu 8:15
