JVNDB-2013-003469

[English]
JVNDB-2013-003469
Apache Struts において任意のコマンドを実行される脆弱性
概要
Apache Struts には、任意のコマンドを実行される脆弱性が存在します。 Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、任意のコマンドを実行される脆弱性が存在します。本件は、7月16日に開発者が公開した S2-016 の脆弱性と同じものです。なお、本脆弱性を使用した攻撃活動が確認されています。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社寺田健氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Apache Software Foundation Apache Struts 2.0.0 から 2.3.15 までオラクル MySQL Enterprise Monitor 2.3.13 およびそれ以前 Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 1.7 Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 12.0.1 Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.0 Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.0.1 Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.2.0.1 Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 3.0
富士通製 Interstage Business Process Manager Analytics は Apache Struts 2 を使用しています。詳細はベンダ情報をご参照ください。
想定される影響
Apache Struts が設置されているサーバ上で任意のコマンドを実行される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。
ベンダ情報
Apache Software Foundation Apache Software Foundation : S2-016 Apache Software Foundation : Struts 2.3.15.1 Apache Software Foundation : CVE-2013-2251: Apache Archiva Remote Command Execution IBM IBM Support Document : 1667890 IBM セキュリティー情報 : 1670064 オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2013 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2015 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices SECURITY BLOG : October 2013 Critical Patch Update Released SECURITY BLOG : July 2015 Critical Patch Update Released シスコシステムズ Cisco Security Advisory : cisco-sa-20131023-struts2 Vulnerability Alert : 30128 シスコセキュリティアドバイザリ : cisco-sa-20131023-struts2 富士通富士通セキュリティ情報 : Interstage Business Process Manager Analytics: 任意のコード実行の脆弱性(CVE-2013-2248, CVE-2013-2251) (2013年9月4日)
CWEによる脆弱性タイプ一覧 CWEとは?
コード・インジェクション(CWE-94) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-2251
参考情報
JVN : JVN#33504150 National Vulnerability Database (NVD) : CVE-2013-2251 JPCERT 注意喚起 : JPCERT-AT-2013-0033
更新履歴
[2013年07月23日] 掲載 [2013年07月30日] CVSS による深刻度：内容を更新 [2013年09月06日] JVN#33504150 にあわせ、タイトル、概要、想定される影響、対策を更新 CVSS、CWE を IPA 値に変更影響を受けるシステム：内容を更新ベンダ情報：富士通 (Interstage Business Process Manager Analytics: 任意のコード実行の脆弱性(CVE-2013-2248, CVE-2013-2251) (2013年9月4日)) を追加 [2013年10月23日] 影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - October 2013) の情報を追加ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2013) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices) を追加ベンダ情報：オラクル (October 2013 Critical Patch Update Released) を追加 [2013年11月12日] ベンダ情報：シスコシステムズ (cisco-sa-20131023-struts2) を追加ベンダ情報：シスコシステムズ (30128) を追加 [2014年06月26日] ベンダ情報：IBM (1670064) を追加ベンダ情報：IBM (1667890) を追加 [2015年07月29日] ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加 [2015年08月11日] ベンダ情報：Apache Software Foundation (CVE-2013-2251: Apache Archiva Remote Command Execution) を追加


公表日	2013/07/09
登録日	2013/07/23
最終更新日	2015/08/11

Apache Struts において任意のコマンドを実行される脆弱性