Japan
サイト内の現在位置を表示しています。
Apache StrutsにおいてClassLoaderが操作可能な脆弱性
掲載番号:NV15-001
脆弱性情報識別番号:JVN#19294237
概要
Apache Strutsには、ClassLoaderが操作可能な脆弱性が存在します。Apache Strutsが動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
対象製品
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
- ESMPRO/ServerManager Ver5.75およびそれ以前
対処方法
InfoCage セキュリティリスク管理
影響の有無
影響あり
対象となる製品のバージョン
InfoCage セキュリティリスク管理 V1.0.0~V2.1.3
対処方法
[対策]
- InfoCage セキュリティリスク管理 V2.0.1~V2.1.3
次のページにて本脆弱性に対応した修正モジュールを公開しています。
尚、修正モジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
https://www.support.nec.co.jp/View.aspx?id=9010103317
- InfoCage セキュリティリスク管理 V1.0.0~V1.0.6
修正モジュールの公開を予定しています。
InfoCage PCセキュリティ
影響の有無
影響あり
- Apache Strutsを利用しているため、影響を受ける可能性があります。
対象となる製品のバージョン
- InfoCage PCセキュリティ 全バージョン
次のOSが対象となります。
- Microsoft Windows Server 2008 R2 Enterprise/Standard 日本語64bit 版 (SP1)
- Microsoft Windows Server 2008 Enterprise/Standard 日本語32bit 版 (SP2)
- Microsoft Windows Server 2003 Enterprise/Standard 日本語32bit 版 (SP1、SP2)
- Microsoft Windows Server 2003 R2 Enterprise/Standard 日本語32bit 版 (SP2)
対処方法
[対策]
次のページにて本脆弱性に対応した修正モジュールを公開しています。
モジュールに添付されているリリースメモを確認の上、ご利用のInfoCage PCセキュリティ 簡易ログサーバ環境に適用をお願いします。
Apache Strutsの脆弱性(CVE-2014-0094)の影響と対策について
StarOffice X 検索関連
影響の有無
影響あり
対象となる製品のバージョン
- 2.0~5.0
対処方法
[対策]
本脆弱性による攻撃を回避するためのオーバーライト物件を作成、公開済です。
下記の物件を適用してください。
オーバーライト物件につきましては弊社営業にお問い合わせください。
下記の物件を適用してください。
- StarOffice X Apache Struts 脆弱性対応モジュール V5.0.00.01 オーバーライト
- StarOffice X Apache Struts 脆弱性対応 V4.0.01.04 オーバーライト
- StarOffice X Apache Struts 脆弱性対応 V3.1.03.02 オーバーライト
- StarOffice X Apache Struts 脆弱性対応モジュール V2.0.07.01 オーバーライト
オーバーライト物件につきましては弊社営業にお問い合わせください。
SystemDirector Enterprise
影響の有無
影響あり
CVE-2014-0114の影響があります。
CVE-2014-0114の影響があります。
対象となる製品のバージョン
- SystemDirector Enterprise for Java Professional Edition Struts拡張モデル 全バージョン
- SystemDirector Enterprise for Java Express Edition Strutsモデル 全バージョン
※ SDE V8.3以降へのバージョンアップをお願いします。それより前のバージョンについては以下の対処方法をご確認ください。
対処方法
[対策]
1. SystemDirector Enterprise for Java Professional Edition
2. SystemDirector Enterprise for Java Express Edition
パッチとソースプログラムにつきましては弊社営業にお問い合わせください。
populateメソッドの呼び出し方を改修した、差し替え用のSDEフレームワークをパッチとしてご提供しています。
2. SystemDirector Enterprise for Java Express Edition
本モデルにおいてはバイナリのパッチではなく、ソースプログラムの提供となります。
ソースプログラムの再ビルドを実施してください。
ソースプログラムの再ビルドを実施してください。
パッチとソースプログラムにつきましては弊社営業にお問い合わせください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
- WebOTX Web Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Standard-J Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Standard Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Enterprise Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Application Server V7.1
- WebOTX Developer V8.2~V8.4/V9.1~V9.2(with Developer's Studio のみ)
- WebOTX Portal V8.3~V8.4/V9.1
- WebOTX RFID Manager Enterprise V7.1
- RFID Manager Standard V2.0
- RFID Manager Lite V2.0
対処方法
■ WebOTX V5
- WebOTX Web Edition V5.1~V5.2
- WebOTX Standard-J Edition V5.1~V5.2
- WebOTX Standard Edition V5.1~V5.2
- WebOTX Enterprise Edition V5.1~V5.2
Apache Struts 1.0.2を含んだサンプルを同梱しています(サンプル名:examples)。
[対策]
以下にサンプルファイルがありますので、WebOTX停止後に削除してください。
<WebOTXインストールフォルダ>\WebCont\webapps\examples
<WebOTXインストールフォルダ>\WebCont\webapps\examples
■ WebOTX V6~V7
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.1~V6.5
- WebOTX Enterprise Edition V6.1~V6.5
- WebOTX Application Server V7.1
Web版運用管理コンソールで、Apache Struts 1.1もしくは、Apache Struts 1.2を利用しています。
[回避策]
(1)Web版運用管理コンソールを利用している場合
次のページで公開しているサーブレットフィルタを適用することで、Web版運用管理コンソールの持つ脆弱性への攻撃を拒否するようにしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103240
(2)Web版運用管理コンソールを利用していない場合
上記のサーブレットフィルタの適用以外に、Web版運用管理コンソールのポート番号(既定値では4848)に対し、外部からアクセスできないようにする対処(ファイアウォールの設定、もしくはWeb版運用管理コンソールの外部アクセスの無効化(※))を行うことでも対処可能です。
(※)Web版運用管理コンソールの外部アクセスの無効化は、Web版運用管理コンソールの受付アドレスをループバックアドレスに変更することで行えます。
コマンドイメージ:
次のページで公開しているサーブレットフィルタを適用することで、Web版運用管理コンソールの持つ脆弱性への攻撃を拒否するようにしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103240
(2)Web版運用管理コンソールを利用していない場合
上記のサーブレットフィルタの適用以外に、Web版運用管理コンソールのポート番号(既定値では4848)に対し、外部からアクセスできないようにする対処(ファイアウォールの設定、もしくはWeb版運用管理コンソールの外部アクセスの無効化(※))を行うことでも対処可能です。
(※)Web版運用管理コンソールの外部アクセスの無効化は、Web版運用管理コンソールの受付アドレスをループバックアドレスに変更することで行えます。
コマンドイメージ:
|
otxadmin > set server.http-service.http-listener.admin-listener.address=127.0.0.1 |
■ WebOTX Developer
- WebOTX Developer V8.2~V8.4/V9.1~V9.2(with Developer's Studio のみ)
Apache Struts 1.1を含んだサンプルを同梱しています(サンプル名:struts-sample)。
[対策]
本サンプルを配備済みの場合には、配備解除してください。
今後、上記のサンプルを脆弱性が解消されたApache Struts 2.3.16.3を利用したものに置換することを予定しています。
対応時期は現在調整中です。
今後、上記のサンプルを脆弱性が解消されたApache Struts 2.3.16.3を利用したものに置換することを予定しています。
対応時期は現在調整中です。
■ WebOTX Portal
- WebOTX Portal V8.3~V8.4/V9.1
認証連携ポートレットでApache Struts 1.3.8を利用しています。
[対策]
今後、Apache Strutsを利用しないように修正を予定しています。
対応時期は現在調整中です。
対応時期は現在調整中です。
[回避策]
攻撃と判断できる文字列を含んだリクエストをエラー処理するためのフィルタを追加します。
フィルタの追加方法については、次のページを参照してください。
https://www.support.nec.co.jp/View.aspx?id=9010103237
フィルタの追加方法については、次のページを参照してください。
https://www.support.nec.co.jp/View.aspx?id=9010103237
■ WebOTX RFID Manager
- WebOTX RFID Manager Enterprise V7.1
- RFID Manager Standard V2.0
- RFID Manager Lite V2.0
RFIDデバイス設定管理用コンソール(WebUI)でStruts 1.2.4を利用しています。
[対策]
今後、脆弱性が解消されたApache Struts 2.3.16.3への対応を予定しています。
対応時期は現在調整中です。
対応時期は現在調整中です。
[回避策]
アクセス元のIPアドレスを最小限に制限することで被害最小化に向けた対策を
行ってください。
デフォルトではファイアウォールの例外設定を変更しないため、ファイアウォール
が有効な場合、既定ではローカルホストからのみアクセス可能な設定
となっています。
ファイアウォールの例外設定を行っている場合は、
管理用コンソール(WebUI)のポート番号(既定値では28080)についての
ファイアウォール設定が最小限のアクセス許可であることを確認し、
必要に応じて設定を変更してください。
ファイアウォール設定の確認・変更方法は各OSの説明書を参照してください。
行ってください。
デフォルトではファイアウォールの例外設定を変更しないため、ファイアウォール
が有効な場合、既定ではローカルホストからのみアクセス可能な設定
となっています。
ファイアウォールの例外設定を行っている場合は、
管理用コンソール(WebUI)のポート番号(既定値では28080)についての
ファイアウォール設定が最小限のアクセス許可であることを確認し、
必要に応じて設定を変更してください。
ファイアウォール設定の確認・変更方法は各OSの説明書を参照してください。
その他注意事項
ご利用のWebアプリケーションに脆弱性のあるStrutsが含まれている場合には、
WebOTXアプリケーションサーバのバージョンに関係なく、
該当のWebアプリケーションについて別途対策をする必要があります。
【WebOTX】Apache Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113)への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010100868
WebOTXアプリケーションサーバのバージョンに関係なく、
該当のWebアプリケーションについて別途対策をする必要があります。
【WebOTX】Apache Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113)への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010100868
InfoFrame DocumentSkipper
影響の有無
影響あり
対象となる製品のバージョン
- 全てのバージョン
対処方法
[対策]
次のページにて本脆弱性に対応したセキュリティパッチを公開しています。
DocumentSkipper セキュリティパッチ(Struts脆弱性)https://www.support.nec.co.jp/View.aspx?id=9010103258
DocumentSkipper セキュリティパッチ(Struts脆弱性)https://www.support.nec.co.jp/View.aspx?id=9010103258
参考情報
Japan Vulnerability Notes JVN#19294237:
Apache Struts において ClassLoader が操作可能な脆弱性
https://jvn.jp/jp/JVN19294237/
JVN iPedia JVNDB-2014-002269:
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002269.html
JVN iPedia JVNDB-2014-002308:
Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002308.html
JVN iPedia JVNDB-2014-002411:
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002411.html
JVN iPedia JVNDB-2014-002269:
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002269.html
JVN iPedia JVNDB-2014-002308:
Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002308.html
JVN iPedia JVNDB-2014-002411:
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002411.html
CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116:
更新情報
- 2019/11/20
- 2018/02/05
- 2017/07/21
- 2016/07/08
- 2015/01/20