Struts 2の脆弱性を狙った攻撃が増えている

あるAnonymous Coward 曰く、　JPCERTが、Apache Struts の脆弱性 (S2-016) に関する注意喚起を行っている。脆弱性があるサイトに対し、細工した HTTPリクエストを送るだけで任意のOSコマンドが実行されるという、かなり危険な脆弱性だそうで、影響を受ける対象もApache Struts 2.0.0から2.3.15と広い。Apache Struts 2.3.15.1では修正されているとのことなので、利用者は確認のうえアップデートをおすすめする。

　なお、Strutsの公式Webサイトには脆弱性の例としてHTTP経由で任意のコマンドを実行させる方法が掲載されているため、簡単に試すことができてしまう（wakatonoの戯れメモ）。注意されたし。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
JINSオンラインショップへの不正アクセス、Struts 2の脆弱性を突かれたのが原因 2013年05月02日
OCNが偽サイトに注意するように呼びかける 2012年12月15日
国内サーバを踏み台にした SIP サーバ攻撃を JPCERT/CC が注意喚起　 2011年02月09日