オープンソースのWebアプリケーションフレームワーク「Apache Struts1(アパッチ・ストラッツワン)」に、深刻な脆弱性の存在が報告されています。
[脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182]
Apache Struts1が悪意あるリクエストを受け取ると、任意のJavaコードが実行され、パスワードファイルなど重要な情報が盗み見られたり、ファイルシステムの破壊やバックドアの設置など、さまざまな被害を受ける恐れがあります。
警察庁でも、Apache Struts1を使用しているWebサイトに対して公開停止を呼びかけるなど、その対策は急務ですが、Apache Struts1は開発元であるApache Software Foundationのサポートが終了しているため、修正版や対応パッチが提供される予定はありません。
シーイーシーでは脆弱性対策サービスとして、「脆弱性対策モジュール」および「保守」を合わせてご提供いたします。
機密情報漏えい、メールアドレスなどの個人情報流出など
ホームページ改ざん、ウイルス感染、DDos攻撃の踏み台、フィッシング詐欺など
サーバークラッシュ、バックドアの設置、不正アクセスなど
サイトダウンなど
Webブラウザーのアドレスバーに、「filetype:do site:御社ドメイン」と入力してみましょう。
検索結果にヒットするものがあれば、御社サイトはApache Struts1を使用しているということになります。
対策を行わずにいると、外部の第三者から脆弱性を悪用される可能性があります!
インストール作業はいたって簡単。スピーディな導入が可能です。
脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182に対応。
必要なのはこの専用モジュールだけ。
毎日脆弱性情報について収集を行い、確認でき次第速やかにご連絡します。
脆弱性情報やシステム構成を元にお客様に合った対処方法をご提案します。
発見された脆弱性情報に基づき対応を行い、こちらで動作確認の取れたモジュールをご提供します。
特に脆弱性などが発見されなかった場合でも、その旨を毎月ご報告します。
システムやアプリケーション構成など、必要な情報を伺います。
お見積り書を作成して、提示します。
契約後、すぐに対策モジュールをご提供します。モジュールを適用して対策が完了します。
Struts1の脆弱性に対応した対策モジュールを提供いたします。
・脆弱性情報(CVE番号、JVNデータベース)が出た場合、速やかに情報提供します。
・その後、追跡調査を行い、適切な対処方法をご提案いたします。
・発見された脆弱性情報に基づき、必要に応じて対策モジュールをご提供します。
・月次レポートでご報告いたします。
サービス料(税抜)
1モジュール:960,000円/年
※初回契約時は2年契約
※モジュールの適用数は環境によって異なります。