オープンソースのWebアプリケーションフレームワーク「Apache Struts1(アパッチ・ストラッツワン)」に、深刻な脆弱性の存在が報告されています。
[脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182]
Apache Struts1が悪意あるリクエストを受け取ると、任意のJavaコードが実行され、パスワードファイルなど重要な情報が盗み見られたり、ファイルシステムの破壊やバックドアの設置など、さまざまな被害を受ける恐れがあります。
警察庁でも、Apache Struts1を使用しているWebサイトに対して公開停止を呼びかけるなど、その対策は急務ですが、Apache Struts1は開発元であるApache Software Foundationのサポートが終了しているため、修正版や対応パッチが提供される予定はありません。
シーイーシーでは脆弱性対策サービスとして、「脆弱性対策モジュール」および「保守」を合わせてご提供いたします。
情報の窃取
機密情報漏えい、メールアドレスなどの個人情報流出など
ファイルの不正操作
ホームページ改ざん、ウイルス感染、DDos攻撃の踏み台、フィッシング詐欺など
任意コードの実行
サーバークラッシュ、バックドアの設置、不正アクセスなど
Webアプリの使用不可
サイトダウンなど
Webブラウザーのアドレスバーに、「filetype:do site:御社ドメイン」と入力してみましょう。
検索結果にヒットするものがあれば、御社サイトはApache Struts1を使用しているということになります。
対策を行わずにいると、外部の第三者から脆弱性を悪用される可能性があります!
専用モジュールをインストールするだけ、最短1日で対応可能
インストール作業はいたって簡単。スピーディな導入が可能です。
機能を限定することで低価格でのセキュリティ確保を実現
脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182に対応。
新規で中間サーバー(WAF/IPSなど)の導入も不要
必要なのはこの専用モジュールだけ。
新たな脆弱性発見時は迅速に対応
毎日脆弱性情報について収集を行い、確認でき次第速やかにご連絡します。
脆弱性発見後は対処方法のご提案
脆弱性情報やシステム構成を元にお客様に合った対処方法をご提案します。
脆弱性に対する対策モジュールの提供
発見された脆弱性情報に基づき対応を行い、こちらで動作確認の取れたモジュールをご提供します。
安心の月次報告
特に脆弱性などが発見されなかった場合でも、その旨を毎月ご報告します。
システムやアプリケーション構成など、必要な情報を伺います。
お見積り書を作成して、提示します。
契約後、すぐに対策モジュールをご提供します。モジュールを適用して対策が完了します。
①脆弱性対策モジュールのご提供
Struts1の脆弱性に対応した対策モジュールを提供いたします。
②保守
・脆弱性情報(CVE番号、JVNデータベース)が出た場合、速やかに情報提供します。
・その後、追跡調査を行い、適切な対処方法をご提案いたします。
・発見された脆弱性情報に基づき、必要に応じて対策モジュールをご提供します。
・月次レポートでご報告いたします。
サービス料(税抜)
1モジュール:960,000円/年
※初回契約時は2年契約
※モジュールの適用数は環境によって異なります。
- ※モジュールのサーバーへの適用はお客様で実施していただきます。
- ※冗長構成、負荷分散の構成など、サービス適用予定の環境によってモジュールのカウント数が変動します。
- ※Strutsを拡張していないものがサービス適用の前提となります。
- ※ユーザーアプリ動作確認はお客様自身にてお願いいたします。
当社にて動作確認が必要となる場合、個別見積となります。
