Japan
サイト内の現在位置を表示しています。
Apache Struts2 に任意のコードが実行可能な脆弱性
掲載番号:NV17-013
脆弱性情報識別番号:JVNVU#93610402
概要
Apache Struts2 には、Jakarta Multipart parser の処理に起因する、任意のコードが実行可能な脆弱性が存在します。
対象製品
ESMPRO/ServerManager
影響の有無
影響あり
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。具体的には、
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。具体的には、
- ESMPRO/ServerManager のユーザアカウント情報が不正に公開/改竄される
- ESMPRO/ServerManager が持っている権限内で、管理対象サーバに対して不正な操作を実行する
対象となる製品のバージョン
- Ver.6.10~6.16
対処方法
InfoFrame Relational Store
影響の有無
影響あり
管理コンソールを使用する場合に本脆弱性の影響を受けます。
管理コンソールを使用する場合に本脆弱性の影響を受けます。
対象となる製品のバージョン
- 全バージョン
対処方法
[対策]
Apache Struts2 のモジュールをアップデートすることで対応可能です。
詳細につきましては弊社営業にお問合せください。
詳細につきましては弊社営業にお問合せください。
iStorage HSシリーズ
影響の有無
影響あり
対象となる製品のバージョン
- V5.0.5
対処方法
[対策]
次のバージョンで対応を行う予定です。
また、V5.0.5については、V5.0.5向けパッチ(P5.0.5-N001)をリリースしています。
詳細につきましては弊社営業にお問合せください。
- V5.1.0
また、V5.0.5については、V5.0.5向けパッチ(P5.0.5-N001)をリリースしています。
詳細につきましては弊社営業にお問合せください。
StarOffice X 業務通達
影響の有無
影響あり
対象となる製品のバージョン
- StarOffice X Standard V4.0 / V5.0 / V5.1
- StarOffice X Enterprise V4.0 / V5.0 / V5.1
対処方法
[対策]
次のバージョンのオーバーライトモジュールで対応完了しています。
オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。
- StarOffice X Apache Struts2 脆弱性対応モジュール P4.0.01.09 オーバーライト
- StarOffice X Apache Struts2 脆弱性対応モジュール P5.0.02.01 オーバーライト
- StarOffice X Apache Struts2 脆弱性対応モジュール P5.1.00.01 オーバーライト
オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。
[回避策]
StarOffice X の Web サーバのインターネットへの公開を停止してください。
WebOTX
影響の有無
影響あり
WebOTXマニュアルで提供している Apache Struts 2.x を含んだサンプルアプリケーション(struts-sample.zip)を利用している場合に影響を受ける可能性があります。
詳細は下記にてご確認ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138
WebOTXマニュアルで提供している Apache Struts 2.x を含んだサンプルアプリケーション(struts-sample.zip)を利用している場合に影響を受ける可能性があります。
詳細は下記にてご確認ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010102138
対象となる製品のバージョン
- WebOTX Developer (with Developer's Studio) V9.3
- WebOTX Developer (with Developer's Studio) V9.4
対処方法
[対策]
- サンプルプログラムをサーバに配備しないでください。すでに配備済みの場合には、配備解除してください。
- サンプルプログラムの利用が必要な場合、脆弱性が解消された Apache Struts 2.5.10.1 に置換したサンプルプログラムを下記からダウンロードしてご利用ください。
https://www.support.nec.co.jp/DownLoad.aspx?file=struts-sample.zip&id=3010102138
参考情報
Japan Vulnerability Notes JVNVU#93610402:
Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93610402/
CVE-2017-5638:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638
更新情報
- 2017/07/21