SIDfm による Apache Struts 脆弱性管理

まず、2013年7月に大きなニュースとなり JPCERT/CC からも注意喚起が発表された Apache Struts の脆弱性に関するセキュリティアドバイザリと関連ニュースをご紹介します。

OS ベンダーやアプリケーションベンダーが発表するセキュリティアドバイザリやリリース情報などは、システムの脆弱性管理を行う上で重要かつ必要な情報です。また、それらの脆弱性に関連する US-CERT、JC3 (旧CIAC)、IPA、JPCERT/CC などの機関から発表される注意喚起などの情報も、脆弱性の脅威や影響を判断するために役立ちます。但し、OS ベンダーやアプリケーションベンダーが発表するセキュリティアドバイザリの発表形式や発表方法は、それぞれに異なっていますので複数の OS やアプリケーションを利用している場合は、その分の手間が必要となります。

▶ Apache Struts のセキュリティアドバイザリ

• S2-017 A vulnerability introduced by manipulating parameters prefixed with "redirect:"/"redirectAction:" allows for open redirects (CVE-2013-2248)
• S2-016 A vulnerability introduced by manipulating parameters prefixed with "action:"/"redirect:"/"redirectAction:" allows remote command execution (CVE-2013-2251)

▶ 注意喚起・ニュース

• Apache Struts の脆弱性 (S2-016) に関する注意喚起 (JPCERT/CC)
• V-200: Apache Struts DefaultActionMapper Redirection and OGNL Security Bypass Vulnerabilities (JC3)
• Apache Struts2の脆弱性を悪用した攻撃が急増、ラックが緊急で注意喚起 (ITPro)
• 「 止まらないウェブ改ざん！」～　ウェブサイトの管理の再検討を！　～ (IPA)

前述の Apache Struts からのアドバイザリやインターネットニュースや JPCERT/CC などの機関から発せられたセキュリティ情報に触れた場合、疑問となるのが自分が管理するシステムに影響する脆弱性なのか、ということです。実際のところ、自分のシステムへの脆弱性の影響の有無を判断するためには、アドバイザリや注意喚起を知る前に、システムで利用している OS やアプリケーションのバージョンや構成を知ることが必要です。OS やアプリケーションのバージョン確認方法は、OS やアプリケーション毎に固有であり、その確認方法を知っておくことは大切です。ここでは、Apache Struts のバージョン確認方法をご紹介します。なお、SIDfm のコンテンツ内には OS、アプリケーションやアプライアンスなどのバージョン確認方法を記載しています。

▶ Apache Struts のバージョン確認方法

Apache Struts のバージョンは、.jar ファイルを展開した後の META-INF/MANIFEST.MF ファイル内に記述されています。確認する .jar ファイルは、Apache Struts 1 では、struts.jar ファイル、Apache Struts 2 では、struts2-core-<version number>.jar ファイルとなります。Apache Struts 2 は、ファイル名にバージョン番号が含まれているため、それにより確認することもできます。ファイル名は、環境により異なる場合があります。

.jar ファイルを展開します。

% unzip struts2-core-2.3.15.1.jar

META-INF/MANIFEST.MF ファイル内の Specification-Version/Implementation-Version の値を確認します。

% more META-INF/MANIFEST.MF
Manifest-Version: 1.0
Archiver-Version: Plexus Archiver
Created-By: 1.6.0_32 (Apple Inc.)
Built-By: rene
Build-Jdk: 1.6.0_32
Specification-Title: Struts 2 Core
Specification-Version: 2.3.15.1
Specification-Vendor: Apache Software Foundation
Implementation-Title: Struts 2 Core
Implementation-Version: 2.3.15.1
Implementation-Vendor-Id: org.apache.struts
Implementation-Vendor: Apache Software Foundation
Export-Package: org.apache.struts2;uses:="javax.servlet.http,javax.ser

では、Apache Struts のどのバージョンにどのような脆弱性が存在するのでしょうか。ここでは、Apache Struts 2.3.15 を例に SIDfm を利用して、利用中の Apache Struts のバージョンに存在する脆弱性とそのリスクを調べ、評価する方法をご紹介します。

▶ 3 ステップで簡単に検索できます。

SIDfm を利用して、Apache Struts 2.3.15 に存在するセキュリティホールを調べる方法をご紹介します。SIDfm は、アプリケーションとバージョンの組合せを認識（例外有り）し検索しますので、手順は非常に簡単です。

1. https://sid.softek.jp/security/list を表示します。
2. 「製品」タブに、「Struts 2.3.15」を入力します。「Apache Struts 2.3.15」でも可能です。
3. 「検索」ボタンを押します。
4. 検索結果表示欄に Apache Struts 2.3.15 に存在するセキュリティホール 31 件が表示されます。

• 柔軟・豊富な検索機能
• 柔軟な検索で、OS、アプリのセキュリティホール(脆弱性)を調べる
• 対応ソフトウェア一覧

▶ リスク指標を一覧で比較確認できます。

検索結果表示欄では、できる限り多くの指標を見せながらも、リスクの判断に必要な指標を分かりやすく表示しています。すべての指標は更に絞り込むことが可能となっていますので、対処が必要なリスクの特定が容易となり、セキュリティホールマネージメントに役立ちます。

1. セキュリティホールタイトルです。セキュリティホールに影響のあるアプリケーション名や影響結果などを的確にまとめています。
2. 最大CVSS指標です。1つのコンテンツ内に複数の CVE が含まれる場合には、その内の最大のCVSS値(10が最大)を表示します。
3. CVSSの詳細項目と攻撃コードの有無です。セキュリティホールの影響を受けた際に、組織やシステムが受ける内容を詳細に分析します。
4. SIDfm 独自の危険度と影響範囲です。CVSS値が割り振られていないセキュリティホールの判断に利用します。
5. 影響のある製品です。セキュリティホールに影響のある OS とアプリケーションのすべてが表示されます。
6. CVS 番号です。1つのコンテンツに複数のセキュリティホール(CVE)が関係する場合があります。
7. セキュリティホールに関係するニュースを表示します。セキュリティホールが一般にどのように扱われているかの判断や、影響度の指標としても利用できます。

▶ セキュリティホールの詳細は必要な情報をタブで見やすく

個々のセキュリティホールコンテンツは、リスク判断に最も重要な CVSS 指標を大きく固定で表示し、その他の概要や対処方法などはタグ切替で必要な時に必要な情報にアクセスできます。難しくなりがちなセキュリティホール情報を分かりやすくするための工夫があります。

これまでの一連の作業をいつ発表されるか分からないセキュリティアドバイザリに対して毎日続けることは、大変な負担です。SIDfm は OS やアプリケーションに脆弱性が発見された際に、その脆弱性内容をセキュリティアナリストが分析し、関連する周辺情報と共にデータベースに登録します。ユーザが事前に、OS やアプリケーションの情報を SIDfm のフィルタに登録しておくことにより、「脆弱性情報のチェック」「脆弱性関連情報のチェック」「脆弱性内容の分析」「脆弱性の自システムへの影響評価」の負担を無くし、確実に脆弱性を管理できるようになります。

▶ フィルタに登録すれば、後は SIDfm にお任せください。

フィルタへの登録は、組織のリスク判断基準に合わせて細かく設定できます。1つのフィルタに、標準で 5 アイテム登録できます。通知メールは、4つのタイミングで送信できます。