Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Struts2 に任意のコードが実行可能な脆弱性

掲載番号:NV17-013
脆弱性情報識別番号:JVNVU#93610402

概要

Apache Struts2 には、Jakarta Multipart parser の処理に起因する、任意のコードが実行可能な脆弱性が存在します。

対象製品

StarOffice X 業務通達

影響の有無

影響あり

対象となる製品のバージョン

  • StarOffice X Standard V4.0 / V5.0 / V5.1
  • StarOffice X Enterprise V4.0 / V5.0 / V5.1

 

対処方法

[対策]
次のバージョンのオーバーライトモジュールで対応完了しています。

  • StarOffice X Apache Struts2 脆弱性対応モジュール P4.0.01.09 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.0.02.01 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.1.00.01 オーバーライト

オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。

[回避策]
StarOffice X の Web サーバのインターネットへの公開を停止してください。

WebOTX

影響の有無

影響あり

WebOTXマニュアルで提供している Apache Struts 2.x を含んだサンプルアプリケーション(struts-sample.zip)を利用している場合に影響を受ける可能性があります。
詳細は下記にてご確認ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138

対象となる製品のバージョン

  • WebOTX Developer (with Developer's Studio) V9.3
  • WebOTX Developer (with Developer's Studio) V9.4

 

対処方法

[対策]
  • サンプルプログラムをサーバに配備しないでください。すでに配備済みの場合には、配備解除してください。

参考情報

Japan Vulnerability Notes JVNVU#93610402:
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93610402/

CVE-2017-5638:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638

更新情報

2017/07/21
StarOffice X 業務通達、WebOTX を登録しました。