JVNDB-2014-001603
|
** 削除 ** Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
|
** 削除 ** 本案件は、JVNDB-2014-000045 の内容と重複していることが判明したため削除されました。JVNDB-2014-000045 を参照してください。
・JVNDB-2014-000045
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html
Apache Struts の ParametersInterceptor には、ClassLoader を "操作 (manipulate)" される脆弱性が存在します。
|
|
|
Apache Software Foundation
- Apache Struts 2.3.16.1 未満
富士通
- FUJITSU Integrated System HA Database Ready
- Interstage Business Analytics Modeling Server
- Interstage Business Process Manager Analytics
- Interstage Mobile Manager
- Interstage eXtreme Transaction Processing Server
- Interstage Application Development Cycle Manager
- Interstage Application Framework Suite
- Interstage Application Server
- Interstage Apworks
- Interstage Business Application Server
- Interstage Job Workload Server
- Interstage Service Integrator
- Interstage Studio
- ServerView Resource Orchestrator
- Symfoware Analytics Server
- Symfoware Server
- Systemwalker Service Catalog Manager
- Systemwalker Service Quality Coordinator
- Systemwalker Software Configuration Manager
- TRIOLE クラウドミドルセット Bセット
- クラウド インフラ マネージメント ソフトウェア
|
本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 CVE-2014-0094 他 に関する影響 をご確認ください。
|
第三者により、class パラメータを介して、getClass メソッドに渡されることで、 ClassLoader を "操作 (manipulate)" される可能性があります。
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
Apache Software Foundation
- Apache Software Foundation : S2-020
- Apache Software Foundation : S2-021
富士通
|
|
- CVE-2014-0094
|
- National Vulnerability Database (NVD) : CVE-2014-0094
- 関連文書 : Apache Struts Bugs Let Remote Users Deny Service and Manipulate the ClassLoader
- IPA 緊急対策情報 : Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)
|
- [2014年03月12日]
掲載
[2014年04月17日]
CVSS による深刻度:内容を更新
参考情報:IPA 緊急対策情報 (Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)) を追加
[2014年04月28日]
ベンダ情報:Apache Software Foundation (S2-021) を追加
[2014年05月14日]
影響を受けるシステム:富士通 (CVE-2014-0094 他 に関する影響) の情報を追加
ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
[2014年05月20日]
ベンダ情報:富士通 (Interstage BPMA他 CVE-2014-0094) を追加
[2014年05月28日]
ベンダ情報:富士通 (Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)) を追加
[2014年06月03日]
ベンダ情報:富士通 (Symfoware Server(Openインタフェース): Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)) を追加
[2014年06月16日]
概要に記載の理由により削除扱いに変更
|