公開日:2014/04/25 最終更新日:2018/02/06

JVN#19294237
Apache Struts において ClassLoader が操作可能な脆弱性

概要

Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。

影響を受けるシステム

  • Apache Struts 2.0.0 から 2.3.16.1 まで

詳細情報

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。

想定される影響

Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。

対策方法

アップデートする
2014年4月25日、本脆弱性を修正した Apache Struts 2.3.16.2 が公開されました。
開発者が提供する情報をもとに、 Apache Struts 2.3.16.2 にアップグレードしてください。

ワークアラウンドを実施する
Apache Struts 2.3.16.2 へのアップグレードが行えない場合、本脆弱性の影響を軽減することができる以下の回避策を適用してください。

  • params インターセプターへの参照を独自に記述している場合、excludeParams を適切に設定する
  • defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2015/04/13
サイボウズ株式会社 該当製品無し 2015/03/17
トレンドマイクロ株式会社 該当製品あり 2014/06/09 トレンドマイクロ株式会社 の告知ページ
ミラクル・リナックス株式会社 該当製品あり 2014/05/12
日本電気株式会社 該当製品あり 2018/02/05
ベンダ リンク
Apache Struts Announcements - 24 April 2014 - Struts 2.3.16.2 General Availability Release - Security Fix Release
Security Bulletins S2-021
Download a Release of Apache Struts -- Full Releases Struts 2.3.16.2
Announcements - 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
Security Bulletins S2-020

参考情報

  1. IPA
    更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)
  2. CERT/CC Vulnerability Note VU#719225
    Apache Struts2 ClassLoader allows access to class properties via request parameters

JPCERT/CCからの補足情報

既にサポートが終了している Apache Struts 1系も類似の脆弱性の存在が報告されています。

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NTT-CERT

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-0094
CVE-2014-0112
JVN iPedia JVNDB-2014-000045

更新履歴

2014/04/25
対策方法を更新しました。
2014/04/28
[影響を受けるシステム]と[対策情報]と[ベンダ情報]を更新しました。
2014/04/28
[ベンダ情報]の誤植を修正しました。
2014/04/30
[影響を受けるシステム]、[参考情報] および [JPCERT/CCからの補足情報] の記載を更新しました。
2014/05/07
ミラクル・リナックス株式会社のベンダステータスが更新されました
2014/05/12
トレンドマイクロ株式会社のベンダステータスが更新されました
2014/05/13
ミラクル・リナックス株式会社のベンダステータスが更新されました
2014/06/09
トレンドマイクロ株式会社のベンダステータスが更新されました
2015/03/18
日本電気株式会社、サイボウズ株式会社のベンダステータスが更新されました
2015/04/13
アライドテレシス株式会社のベンダステータスが更新されました
2015/07/10
日本電気株式会社のベンダステータスが更新されました
2016/07/12
日本電気株式会社のベンダステータスが更新されました
2017/07/25
日本電気株式会社のベンダステータスが更新されました
2018/02/06
日本電気株式会社のベンダステータスが更新されました