【活用ガイド】

JVNDB-2014-001603

** 削除 ** Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性

概要

** 削除 ** 本案件は、JVNDB-2014-000045 の内容と重複していることが判明したため削除されました。JVNDB-2014-000045 を参照してください。

・JVNDB-2014-000045
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html

Apache Struts の ParametersInterceptor には、ClassLoader を "操作 (manipulate)" される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: N/A
  • 攻撃元区分: N/A
  • 攻撃条件の複雑さ: N/A
  • 攻撃前の認証要否: N/A
  • 機密性への影響(C): N/A
  • 完全性への影響(I): N/A
  • 可用性への影響(A): N/A

影響を受けるシステム


Apache Software Foundation
  • Apache Struts 2.3.16.1 未満
富士通
  • FUJITSU Integrated System HA Database Ready
  • Interstage Business Analytics Modeling Server
  • Interstage Business Process Manager Analytics
  • Interstage Mobile Manager
  • Interstage eXtreme Transaction Processing Server
  • Interstage Application Development Cycle Manager
  • Interstage Application Framework Suite
  • Interstage Application Server
  • Interstage Apworks
  • Interstage Business Application Server
  • Interstage Job Workload Server
  • Interstage Service Integrator
  • Interstage Studio
  • ServerView Resource Orchestrator
  • Symfoware Analytics Server
  • Symfoware Server
  • Systemwalker Service Catalog Manager
  • Systemwalker Service Quality Coordinator
  • Systemwalker Software Configuration Manager
  • TRIOLE クラウドミドルセット Bセット
  • クラウド インフラ マネージメント ソフトウェア

本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 CVE-2014-0094 他 に関する影響 をご確認ください。
想定される影響

第三者により、class パラメータを介して、getClass メソッドに渡されることで、 ClassLoader を "操作 (manipulate)" される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Apache Software Foundation
  • Apache Software Foundation : S2-020
  • Apache Software Foundation : S2-021
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0094
参考情報

  1. National Vulnerability Database (NVD) : CVE-2014-0094
  2. 関連文書 : Apache Struts Bugs Let Remote Users Deny Service and Manipulate the ClassLoader
  3. IPA 緊急対策情報 : Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)
更新履歴

[2014年03月12日]
  掲載
[2014年04月17日]
  CVSS による深刻度:内容を更新
  参考情報:IPA 緊急対策情報 (Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)) を追加
[2014年04月28日]
  ベンダ情報:Apache Software Foundation (S2-021) を追加
[2014年05月14日]
  影響を受けるシステム:富士通 (CVE-2014-0094 他 に関する影響) の情報を追加
  ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
[2014年05月20日]
  ベンダ情報:富士通 (Interstage BPMA他 CVE-2014-0094) を追加
[2014年05月28日]
  ベンダ情報:富士通 (Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)) を追加
[2014年06月03日]
  ベンダ情報:富士通 (Symfoware Server(Openインタフェース): Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)) を追加
[2014年06月16日]
  概要に記載の理由により削除扱いに変更