2017年3月7日にApache Struts2の深刻な脆弱性が報告されています。CVE-2017-5638として整理されているもので、細工したHTTPヘッダのリクエストを送信することで、外部からファイルをアップロードさせてサーバを乗っ取ることができるというものです。Apache Strutsプロジェクトでは細工するヘッダによってS2-045およびS2-046の2つの管理番号に分けています。
SWANStorシステムでは弊社の共通ログインポータルを含めて、Apache Struts2は使用しておりません。このためSWANStorとしてこの問題は影響を受けません。
一方、SWANStorを使ってアクセスするアプリケーションがApache Struts2を使用している場合、このアプリケーションにはSWANStorにログインしないとアクセスはできないので脆弱性の影響は低減化されますが、脆弱性が解消されることはありません。本脆弱性はHTTPヘッダの細工で発生する問題であり、SWANStorに正規のアクセスアカウントを持つユーザが、そうした細工をすることでご利用のアプリケーションサーバを乗っ取ることは、技術上可能となります。SWANStorシステムはブラウザが送信するHTTPヘッダは、基本的にそのまま転送するからです。
Apache Struts2の問題に限らず、Webサーバなどの脆弱性のレポートが報告された場合、社内システムであってもその影響度を評価し、可能な限り速やかにセキュリティパッチを適用することをお勧めします。