公開日:2014/04/25 最終更新日:2018/02/06
JVN#19294237
Apache Struts において ClassLoader が操作可能な脆弱性
Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。
- Apache Struts 2.0.0 から 2.3.16.1 まで
Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。
Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
アップデートする
2014年4月25日、本脆弱性を修正した Apache Struts 2.3.16.2 が公開されました。
開発者が提供する情報をもとに、 Apache Struts 2.3.16.2 にアップグレードしてください。
ワークアラウンドを実施する
Apache Struts 2.3.16.2 へのアップグレードが行えない場合、本脆弱性の影響を軽減することができる以下の回避策を適用してください。
- params インターセプターへの参照を独自に記述している場合、excludeParams を適切に設定する
- defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
アライドテレシス株式会社 | 該当製品あり | 2015/04/13 | |
サイボウズ株式会社 | 該当製品無し | 2015/03/17 | |
トレンドマイクロ株式会社 | 該当製品あり | 2014/06/09 | トレンドマイクロ株式会社 の告知ページ |
ミラクル・リナックス株式会社 | 該当製品あり | 2014/05/12 | |
日本電気株式会社 | 該当製品あり | 2018/02/05 |
-
IPA
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020) -
CERT/CC Vulnerability Note VU#719225
Apache Struts2 ClassLoader allows access to class properties via request parameters
既にサポートが終了している Apache Struts 1系も類似の脆弱性の存在が報告されています。
CVSS v2
AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値:
7.5
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NTT-CERT
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2014-0094 |
CVE-2014-0112 |
|
JVN iPedia |
JVNDB-2014-000045 |
- 2014/04/25
- 対策方法を更新しました。
- 2014/04/28
- [影響を受けるシステム]と[対策情報]と[ベンダ情報]を更新しました。
- 2014/04/28
- [ベンダ情報]の誤植を修正しました。
- 2014/04/30
- [影響を受けるシステム]、[参考情報] および [JPCERT/CCからの補足情報] の記載を更新しました。
- 2014/05/07
- ミラクル・リナックス株式会社のベンダステータスが更新されました
- 2014/05/12
- トレンドマイクロ株式会社のベンダステータスが更新されました
- 2014/05/13
- ミラクル・リナックス株式会社のベンダステータスが更新されました
- 2014/06/09
- トレンドマイクロ株式会社のベンダステータスが更新されました
- 2015/03/18
- 日本電気株式会社、サイボウズ株式会社のベンダステータスが更新されました
- 2015/04/13
- アライドテレシス株式会社のベンダステータスが更新されました
- 2015/07/10
- 日本電気株式会社のベンダステータスが更新されました
- 2016/07/12
- 日本電気株式会社のベンダステータスが更新されました
- 2017/07/25
- 日本電気株式会社のベンダステータスが更新されました
- 2018/02/06
- 日本電気株式会社のベンダステータスが更新されました