Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache StrutsにおいてClassLoaderが操作可能な脆弱性

掲載番号:NV15-001
脆弱性情報識別番号:JVN#19294237

概要

Apache Strutsには、ClassLoaderが操作可能な脆弱性が存在します。
Apache Strutsが動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。

対象製品

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

  • ESMPRO/ServerManager Ver5.75およびそれ以前

 

対処方法

[対策]
次のページにて本脆弱性に対応したアップデートモジュールを公開しています。

InfoCage セキュリティリスク管理

影響の有無

影響あり

対象となる製品のバージョン

InfoCage セキュリティリスク管理 V1.0.0~V2.1.3

対処方法

[対策]
  • InfoCage セキュリティリスク管理 V2.0.1~V2.1.3

次のページにて本脆弱性に対応した修正モジュールを公開しています。
尚、修正モジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。

https://www.support.nec.co.jp/View.aspx?id=9010103317

  • InfoCage セキュリティリスク管理 V1.0.0~V1.0.6

修正モジュールの公開を予定しています。

InfoCage PCセキュリティ

影響の有無

影響あり

  • Apache Strutsを利用しているため、影響を受ける可能性があります。

対象となる製品のバージョン

  • InfoCage PCセキュリティ 全バージョン

次のOSが対象となります。
  • Microsoft Windows Server 2008 R2 Enterprise/Standard 日本語64bit 版 (SP1)
  • Microsoft Windows Server 2008 Enterprise/Standard 日本語32bit 版 (SP2)
  • Microsoft Windows Server 2003 Enterprise/Standard 日本語32bit 版 (SP1、SP2)
  • Microsoft Windows Server 2003 R2 Enterprise/Standard 日本語32bit 版 (SP2)

対処方法

[対策]
次のページにて本脆弱性に対応した修正モジュールを公開しています。
モジュールに添付されているリリースメモを確認の上、ご利用のInfoCage PCセキュリティ 簡易ログサーバ環境に適用をお願いします。

Apache Strutsの脆弱性(CVE-2014-0094)の影響と対策について

StarOffice X 検索関連

影響の有無

影響あり

対象となる製品のバージョン

  • 2.0~5.0

 

対処方法

[対策]
本脆弱性による攻撃を回避するためのオーバーライト物件を作成、公開済です。
下記の物件を適用してください。

  • StarOffice X Apache Struts 脆弱性対応モジュール V5.0.00.01 オーバーライト
  • StarOffice X Apache Struts 脆弱性対応 V4.0.01.04 オーバーライト
  • StarOffice X Apache Struts 脆弱性対応 V3.1.03.02 オーバーライト
  • StarOffice X Apache Struts 脆弱性対応モジュール V2.0.07.01 オーバーライト

オーバーライト物件につきましては弊社営業にお問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V5.1~V5.2/V6.1~V6.5
  • WebOTX Standard-J Edition V5.1~V5.2/V6.1~V6.5
  • WebOTX Standard Edition V5.1~V5.2/V6.1~V6.5
  • WebOTX Enterprise Edition V5.1~V5.2/V6.1~V6.5
  • WebOTX Application Server V7.1
  • WebOTX Developer V8.2~V8.4/V9.1~V9.2(with Developer's Studio のみ)
  • WebOTX Portal V8.3~V8.4/V9.1
  • WebOTX RFID Manager Enterprise V7.1
  • RFID Manager Standard V2.0
  • RFID Manager Lite V2.0

対処方法

■ WebOTX V5
  • WebOTX Web Edition V5.1~V5.2
  • WebOTX Standard-J Edition V5.1~V5.2
  • WebOTX Standard Edition V5.1~V5.2
  • WebOTX Enterprise Edition V5.1~V5.2

Apache Struts 1.0.2を含んだサンプルを同梱しています(サンプル名:examples)。

[対策]
以下にサンプルファイルがありますので、WebOTX停止後に削除してください。
<WebOTXインストールフォルダ>\WebCont\webapps\examples

■ WebOTX V6~V7
  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Standard-J Edition V6.1~V6.5
  • WebOTX Standard Edition V6.1~V6.5
  • WebOTX Enterprise Edition V6.1~V6.5
  • WebOTX Application Server V7.1

Web版運用管理コンソールで、Apache Struts 1.1もしくは、Apache Struts 1.2を利用しています。

[回避策]
(1)Web版運用管理コンソールを利用している場合
次のページで公開しているサーブレットフィルタを適用することで、Web版運用管理コンソールの持つ脆弱性への攻撃を拒否するようにしてください。
http://www.support.nec.co.jp/View.aspx?id=9010103240

(2)Web版運用管理コンソールを利用していない場合
上記のサーブレットフィルタの適用以外に、Web版運用管理コンソールのポート番号(既定値では4848)に対し、外部からアクセスできないようにする対処(ファイアウォールの設定、もしくはWeb版運用管理コンソールの外部アクセスの無効化(※))を行うことでも対処可能です。

(※)Web版運用管理コンソールの外部アクセスの無効化は、Web版運用管理コンソールの受付アドレスをループバックアドレスに変更することで行えます。

コマンドイメージ:
otxadmin > set server.http-service.http-listener.admin-listener.address=127.0.0.1
■ WebOTX Developer
  • WebOTX Developer V8.2~V8.4/V9.1~V9.2(with Developer's Studio のみ)

Apache Struts 1.1を含んだサンプルを同梱しています(サンプル名:struts-sample)。

[対策]
本サンプルを配備済みの場合には、配備解除してください。

今後、上記のサンプルを脆弱性が解消されたApache Struts 2.3.16.3を利用したものに置換することを予定しています。
対応時期は現在調整中です。

■ WebOTX Portal
  • WebOTX Portal V8.3~V8.4/V9.1

認証連携ポートレットでApache Struts 1.3.8を利用しています。

[対策]
今後、Apache Strutsを利用しないように修正を予定しています。
対応時期は現在調整中です。

[回避策]
攻撃と判断できる文字列を含んだリクエストをエラー処理するためのフィルタを追加します。
フィルタの追加方法については、次のページを参照してください。

http://www.support.nec.co.jp/View.aspx?id=9010103237

■ WebOTX RFID Manager
  • WebOTX RFID Manager Enterprise V7.1
  • RFID Manager Standard V2.0
  • RFID Manager Lite V2.0

RFIDデバイス設定管理用コンソール(WebUI)でStruts 1.2.4を利用しています。

[対策]
今後、脆弱性が解消されたApache Struts 2.3.16.3への対応を予定しています。
対応時期は現在調整中です。

[回避策]
アクセス元のIPアドレスを最小限に制限することで被害最小化に向けた対策を
行ってください。
デフォルトではファイアウォールの例外設定を変更しないため、ファイアウォール
が有効な場合、既定ではローカルホストからのみアクセス可能な設定
となっています。
ファイアウォールの例外設定を行っている場合は、
管理用コンソール(WebUI)のポート番号(既定値では28080)についての
ファイアウォール設定が最小限のアクセス許可であることを確認し、
必要に応じて設定を変更してください。
ファイアウォール設定の確認・変更方法は各OSの説明書を参照してください。

その他注意事項
ご利用のWebアプリケーションに脆弱性のあるStrutsが含まれている場合には、
WebOTXアプリケーションサーバのバージョンに関係なく、
該当のWebアプリケーションについて別途対策をする必要があります。

【WebOTX】Apache Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113)への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3010100868

参考情報

Japan Vulnerability Notes JVN#19294237:
Apache Struts において ClassLoader が操作可能な脆弱性
https://jvn.jp/jp/JVN19294237/

JVN iPedia JVNDB-2014-002269:
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002269.html

JVN iPedia JVNDB-2014-002308:
Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002308.html

JVN iPedia JVNDB-2014-002411:
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002411.html

CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116:

更新情報

2017/07/21
StarOffice X 検索関連 を登録しました。
2016/07/08
WebOTX を更新しました。
2015/06/22
ESMPRO/ServerManager、InfoCage セキュリティリスク管理、WebOTXを登録しました。
2015/01/20
InfoCage PCセキュリティを登録しました。