IPAから「Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)」というページで Apache Struts2 の更新を呼びかけていました。

• Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)：IPA 独立行政法人 情報処理推進機構

影響を受けるバージョンは、Apache Struts 2.0.0 から 2.3.16 ということで、2.3.16.1への更新を促しています。この2.3.16.1というバージョンは今年の3月6日にリリースされていました。

そのリリース時のアナウンスにセキュリティ・フィックスについての記載があります。

• Apache Struts Bugs Let Remote Users Deny Service and Manipulate the ClassLoader - SecurityTracker

また、次善策も以下のようなページに記載されています。

• S2-020

---

ここからは後から振り返るための備忘録です。

GitHubの apache/struts において、3月1日に「Adds additional exclude params」として、core/src/main/resources/struts-default.xml を変更している箇所がある。

<param name="excludeParams">dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*</param>
  ↓
<param name="excludeParams">^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

• Adds additional exclude params · 65efe3d · apache/struts

その後、3月30日には「Improves pattern to avoid classloader pollution and adds dedicated tests」として、同じ箇所の正規表現が変更されている。これは 2.3.16.1には取り込まれていない。

<param name="excludeParams">^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*>/param<
  ↓
<param name="excludeParams">(.*\.|^)class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

• Improves pattern to avoid classloader pollution and adds dedicated tests · aaf5a30 · apache/struts

また、この部分の正規表現に関して、3月6日の時点で言及されている。

• Full Disclosure: Re: [ANN] Struts 2.3.16.1 GA release available - security fix
• この投稿は struts-dev mailing list archivesにはない。

[最終更新日: 2014年4月18日]