Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Struts2 に任意のコードが実行可能な脆弱性

掲載番号:NV17-013
脆弱性情報識別番号:JVNVU#93610402

概要

Apache Struts2 には、Jakarta Multipart parser の処理に起因する、任意のコードが実行可能な脆弱性が存在します。

対象製品

ESMPRO/ServerManager

影響の有無

影響あり

遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。具体的には、
  • ESMPRO/ServerManager のユーザアカウント情報が不正に公開/改竄される
  • ESMPRO/ServerManager が持っている権限内で、管理対象サーバに対して不正な操作を実行する
などが考えられます。

対象となる製品のバージョン

  • Ver.6.10~6.16

 

対処方法

[対策]
下記から修正物件をダウンロードしてアップデートしてください。
http://www.support.nec.co.jp/View.aspx?id=9010107032

InfoFrame Relational Store

影響の有無

影響あり

管理コンソールを使用する場合に本脆弱性の影響を受けます。

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
Apache Struts2 のモジュールをアップデートすることで対応可能です。
詳細につきましては弊社営業にお問合せください。

iStorage HSシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • V5.0.5

 

対処方法

[対策]
次のバージョンで対応を行う予定です。
  • V5.1.0

また、V5.0.5については、V5.0.5向けパッチ(P5.0.5-N001)をリリースしています。
詳細につきましては弊社営業にお問合せください。

StarOffice X 業務通達

影響の有無

影響あり

対象となる製品のバージョン

  • StarOffice X Standard V4.0 / V5.0 / V5.1
  • StarOffice X Enterprise V4.0 / V5.0 / V5.1

 

対処方法

[対策]
次のバージョンのオーバーライトモジュールで対応完了しています。

  • StarOffice X Apache Struts2 脆弱性対応モジュール P4.0.01.09 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.0.02.01 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.1.00.01 オーバーライト

オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。

[回避策]
StarOffice X の Web サーバのインターネットへの公開を停止してください。

WebOTX

影響の有無

影響あり

WebOTXマニュアルで提供している Apache Struts 2.x を含んだサンプルアプリケーション(struts-sample.zip)を利用している場合に影響を受ける可能性があります。
詳細は下記にてご確認ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138

対象となる製品のバージョン

  • WebOTX Developer (with Developer's Studio) V9.3
  • WebOTX Developer (with Developer's Studio) V9.4

 

対処方法

[対策]
  • サンプルプログラムをサーバに配備しないでください。すでに配備済みの場合には、配備解除してください。

参考情報

Japan Vulnerability Notes JVNVU#93610402:
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93610402/

CVE-2017-5638:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638

更新情報

2017/09/29
ESMPRO/ServerManager、InfoFrame Relational Store、iStorage HSシリーズ を登録しました。
2017/07/21
StarOffice X 業務通達、WebOTX を登録しました。