Apache Struts2 脆弱性対策サービス

Apache Struts2とは

Struts2の脆弱性を狙った攻撃は増加傾向

Struts2の脆弱性の検出件数は、2021年は0件でしたが、2022年は1件、2023年では4件も発見されています。
（2023/12/31日現在）

脆弱性番号	日付	脆弱性対策情報
S2-066	2023/12/9	任意のコードを実行される脆弱性
S2-065	2023/9/13	サービス運用妨害（DoS）の脆弱性
S2-064	2023/6/13	サービス運用妨害（DoS）の脆弱性
S2-063	2023/6/13	サービス運用妨害（DoS）の脆弱性
S2-062	2022/10/6	任意のコードを実行される脆弱性
・ ・	・ ・	・ ・

• リモートコード実行
• セッションハイジャック
• 管理者権限の乗っ取り
• データ漏えい

これらの攻撃パターンは、Struts2の脆弱性を悪用することで発生する可能性があります。
適切な対策を講じることで、これらの攻撃からシステムを保護することが重要です。

脆弱性対策を放置すると、サービスの運用妨害や情報漏えいなどの被害を受ける恐れがあります。こうした事態を避けるため、修正パッチが公開された際には、速やかに修正パッチを適用する必要があります。

つまり、Struts2の脆弱性は修正パッチを適用し、アップデートをしないと解消しません。脆弱性の対策は、システムが問題なく動作することを事前にテストなど確認した上で、最新版へアップデートすることが大切です。しかし、Struts2の脆弱性対策を社内で対応するのは、専門の知識やアップデートを対応する人材が必要となります。

最新モジュールへのバージョンアップをトータルでサポート

• POINT1

  専用モジュールをインストールするだけ、最短1日で対応可能

  インストール作業はいたって簡単。スピーディな導入が可能です。

• POINT2

  機能を限定することで、低価格でのセキュリティ確保を実現

  脆弱性識別番号：「CVE-2021-31805」「CVE-2023-34149」「CVE-2023-34396」「CVE-2023-41835」に対応。（直近で発生しました「CVE-2023-50164」については、順次対応予定）

• POINT3

  初期費用のみ、複数サーバーへの適用も価格はそのまま

  月々のランニングコスト不要。複数サーバーなら1台あたりはさらにリーズナブル。

• POINT4

  新規で中間サーバー（WAF/ISPなど）の導入も不要

  必要なのはこの専用モジュールだけ。追加の費用は不要です。

• POINT5

  脆弱性発見時は迅速に・脆弱性発見後は対処方法の提案

  毎日脆弱性情報について情報収集。脆弱性情報やシステム構成を元にお客様に合った対処方法をご提案

脆弱性対策サービス適用有無調査

ヒアリングシートからシステム構成を調査させていただき、対策を提供いたします。

対応モジュールのご提供

当社で改修した脆弱性対応を行ったStruts本体のモジュールを提供いたします。
※上記以外の対策は、別途ご相談とさせていただきます。
※サーバーへの適用はお客様で実施していただきます。
※バージョンが2.5.26未満については、個別のバージョンアップが必要となります（ご提供価格：個別見積）。

ユーザーアプリ動作確認

基本的にはお客様自身にてお願いいたしますが、ご相談に応じます（ご提供価格：個別見積）。

年間保守サービス

今後も発生し続ける問題に対し、継続的にサポートいたします。