公開日:2023/09/14 最終更新日:2024/09/12

JVNVU#93658064
Apache Struts 2におけるサービス運用妨害(DoS)の脆弱性(S2-065)

概要

The Apache Software Foundationが提供するApache Struts 2には、サービス運用妨害(DoS)の脆弱性が存在します。

影響を受けるシステム

  • Apache Struts 2.5.31
  • Apache Struts 6.1.2.1
  • Apache Struts 6.3.0

詳細情報

The Apache Software Foundationが提供するApache Struts 2には、マルチパート形式のリクエスト送信時に一部のフィールドがmaxStringLengthの制限を超えた場合、リクエストが拒否されてもアップロードファイルがstruts.multipart.saveDirに残る問題(CVE-2023-41835)が存在します。

想定される影響

サービス運用妨害(DoS)攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は、次のバージョンで修正されています。

  • Apache Struts 2.5.32およびそれ以降
  • Apache Struts 6.1.2.2およびそれ以降
  • Apache Struts 6.3.0.1およびそれ以降

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
日本電気株式会社 該当製品あり 2024/09/12
ベンダ リンク
The Apache Software Foundation S2-065
13 September 2023 - Apache Struts version 6.3.0.1 General Availability
13 September 2023 - Apache Struts version 6.1.2.2 General Availability
13 September 2023 - Apache Struts version 2.5.32 General Availability

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/09/12
日本電気株式会社のベンダステータスが更新されました