Apache Strutsの脆弱性リスク判断ツールを無償提供

Black Duck Software(以下、Black Duck)は、企業・組織が「Apache Struts」の脆弱性リスクの有無を判断できるようにするツール「Threat Check for Struts」を無料で配布すると発表した。

Threat Check for Strutsはアプリケーションまたはコンテナを迅速かつ正確に分析し、Strutsの脆弱性を検出する。検出される脆弱性には、米信用情報会社Equifaxが攻撃を受け、1億4,300万人の個人情報が盗まれるという被害をもたらした「CVE-2017-5638」も含まれている。

Black Duckは、Threat Check for Strutsの無料提供を通じて、現在の問題にできる限り迅速に対処することを企業に推奨している。

Black Duckの代表取締役社長兼CEOのLou Shipleyは次のようにコメントしている。

「Equifaxのデータ漏えいはあってはならないことだった。同社は、事前にそういうことがあり得るとわかっていたからだ。攻撃があったときには、悪用されたApache Strutsの脆弱性に対するパッチが提供されてから2か月が経過していたのに、そのパッチを適用していなかった。既知の修復可能な脆弱性に何も対応していないという事例が、残念ながらまた繰り返された。

Apache Strutsは、教育や行政、金融サービス、小売り、メディアなどの分野の企業WebサイトやWebアプリケーションを構築する目的で多くのFortune 100企業で使用され、そのオープンソースソフトウェアの80%から90%は最新のアプリケーションで使用されているコードで構成されている。

しかし、ほとんどの企業・組織では、使用しているオープンソースについてはあまり可視化されていない。オープンソースの既知の脆弱性に対するパッチや修正があるときでも、ほとんどの企業・組織には、オープンソースを自動的に識別および監視するプロセスが導入されていないのが現状だ。そのため脆弱性が内在するオープンソースコンポーネントを使用していること、あるいはそれらの修正が可能であることを知らずにいることがよくある。

Black Duckは、Equifaxよりも金額や規模の大きな被害をもたらす新たな攻撃が発生するのを避けたいと考え、今回の無料ツールを提供することにした」

Black Duck、Apache Strutsの脆弱性を自動的に検出可能な無料ツールを発表

カテゴリー: 情報通信 , セキュリティ   

大島 純一郎

大島 純一郎Author

証券系システムエンジニアやIT系資格対策問題集の編集、IT系Webメディアの編集記者などの経歴を生かして、企業向けIT関連の記事制作に携わる。専門は、IT、金融、医療分野。医療情報システムの企画/構築、運用に関する知識を有する専門者としての資格、医療情報技師、情報セキュリティアドミニストレータの保有者。

Pickup

4K対応IP-STBのODM製品を提供
IoT/M2M関連機器ODM専業メーカーのサーコム・ジャパンは、2018年3月13日に法人向けODM製品として4K対応IP-STB「STB122シリーズ」を提供開始する。  続きを読む

関連記事