公開日:2016/06/07 最終更新日:2016/07/12

JVN#03188560
Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性

概要

Apache Struts 1 の ActionForm には、Servlet や ClassLoader など、サーバのメモリ上にあるコンポーネントを操作可能な脆弱性が存在します。

影響を受けるシステム

  • Apache Struts バージョン 1.0 から 1.3.10 まで

詳細情報

Apache Struts 1 の ActionForm は、次の 2つの条件が成立する場合、Servlet や ClassLoader など、サーバのメモリ上にあるコンポーネントを操作可能な脆弱性が存在します。

条件1.

次の ActionForm (サブクラスを含む) をセッションスコープに置いており、同一のセッションを処理する複数のスレッドが、同一の ActionForm インスタンスにアクセスできる
  • ActionForm (DynaActionForm とそのサブクラスのように、DynaBean インターフェースを実装したクラスは除く)
  • ValidatingActionForm
  • ValidatorForm
  • ValidatorActionForm
条件2.
マルチパート形式のリクエストを受け付ける
(ウェブアプリケーションがマルチパート形式のフォームを使用していない場合も該当する)

想定される影響

ウェブアプリケーションの実装により異なりますが、サービス運用妨害 (DoS) 状態にさせられる可能性があります。
場合によっては ClassLoader を操作されることで、Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。

対策方法

2013年4月5日をもって、Apache Struts 1 はサポートを終了しています。
対策方法や修正パッチの有無は、Struts 1 を使用する各開発者の情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2016/06/07
サイボウズ株式会社 該当製品あり(調査中) 2016/06/10
ジェイティ エンジニアリング株式会社 該当製品無し 2016/06/07
富士通株式会社 該当製品あり 2016/06/07
日本電気株式会社 該当製品あり 2016/07/11
日立 該当製品無し(調査中) 2016/06/07
株式会社エヌ・ティ・ティ・データ 該当製品あり 2016/06/07 株式会社エヌ・ティ・ティ・データ の告知ページ
株式会社リコー 該当製品あり 2016/06/07
特定非営利活動法人 Seasar ファウンデーション 脆弱性情報提供済み 2016/06/07
ベンダ リンク
The Apache Software Foundation Apache Struts 1 End-Of-Life (EOL) Announcement

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P
基本値: 6.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-1181
JVN iPedia JVNDB-2016-000096

更新履歴

2016/06/08
日本電気株式会社のベンダステータスが更新されました
2016/06/10
サイボウズ株式会社のベンダステータスが更新されました
2016/06/20
日本電気株式会社のベンダステータスが更新されました
2016/07/12
日本電気株式会社のベンダステータスが更新されました