【活用ガイド】

JVNDB-2014-002308

Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性

概要

Apache Struts の lib/commons-beanutils-1.8.0.jar および commons-beanutils を必要とするその他の製品で配布される Apache Commons BeanUtils は、class 属性を抑制しないため、ClassLoader を "操作 (manipulate)" され、任意のコードを実行される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

影響を受けるシステム

Apache Struts の lib/commons-beanutils-1.8.0.jar および commons-beanutils を必要とするその他の製品で配布される Apache Commons BeanUtils 1.9.2 未満が本脆弱性の影響を受けます。

Apache Software Foundation
  • Apache Struts  1.x から 1.3.10
IBM
  • IBM Connections 5.0
  • IBM Connections 4.5
  • IBM Connections 4.0
  • IBM Connections 3.0.1.1 およびそれ以前
  • IBM Content Collector 2.2
  • IBM Lotus Expeditor 6.1.x
  • IBM Lotus Expeditor 6.2.x
  • IBM Lotus Quickr 8.5 for WebSphere Portal
  • IBM Rational Change 5.2
  • IBM Rational Change 5.3
  • IBM Rational Change 5.3.1
  • IBM WebSphere Portal 8.5
  • IBM WebSphere Portal 8.0
  • IBM WebSphere Portal 7
  • IBM WebSphere Portal 6.1.x
  • Lotus Mashups 2.0.0.2
  • Lotus Mashups 3.0.0.1
オラクル
  • Oracle Communications Applications の MetaSolv Solution 6.2.1.0.0
  • Oracle Communications Applications の MetaSolv Solution ASR: 49.0.0
  • Oracle Communications Applications の MetaSolv Solution LSR: 10.1.0
  • Oracle Communications Applications の MetaSolv Solution LSR: 9.4.0
  • Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.1.5
  • Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.1.7
  • Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.2.1
  • Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.2.2
  • Oracle Fusion Middleware の Oracle Enterprise Data Quality 8.1.2
  • Oracle Fusion Middleware の Oracle Enterprise Data Quality 9.0.11
  • Oracle Fusion Middleware の Oracle JDeveloper 10.1.3.5
  • Oracle Fusion Middleware の Oracle JDeveloper 11.1.1.7
  • Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4
  • Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0
  • Oracle Fusion Middleware の Oracle JDeveloper 12.1.3.0
  • Oracle Fusion Middleware の Oracle Waveset 8.1.1
  • Oracle Fusion Middleware の Oracle WebLogic Portal 10.0.1.0
  • Oracle Fusion Middleware の Oracle WebLogic Portal 10.2.1.0
  • Oracle Fusion Middleware の Oracle WebLogic Portal 10.3.6.0
  • Oracle Fusion Middleware の Oracle Real-Time Decision Server 11.1.1.7 (RTD プラットフォーム 3.0.x)
  • Oracle Identity Manager 11.1.1.5
  • Oracle Identity Manager 11.1.1.7
  • Oracle Identity Manager 11.1.2.1
  • Oracle Identity Manager 11.1.2.2
  • Oracle Primavera Products Suite の Primavera Contract Management 13.1
  • Oracle Primavera Products Suite の Primavera Contract Management 14.0
  • Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 7.0
  • Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.0
  • Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.1
  • Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.2
  • Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.3
  • Oracle Retail Applications の Allocation 10.0
  • Oracle Retail Applications の Allocation 11.0
  • Oracle Retail Applications の Allocation 12.0
  • Oracle Retail Applications の Allocation 13.0
  • Oracle Retail Applications の Allocation 13.1
  • Oracle Retail Applications の Allocation 13.2
  • Oracle Retail Applications の Back Office 12.0
  • Oracle Retail Applications の Back Office 12.0.9IN
  • Oracle Retail Applications の Back Office 13.0
  • Oracle Retail Applications の Back Office 13.1
  • Oracle Retail Applications の Back Office 13.2
  • Oracle Retail Applications の Back Office 13.3
  • Oracle Retail Applications の Back Office 13.4
  • Oracle Retail Applications の Back Office 14.0
  • Oracle Retail Applications の Back Office 8.0
  • Oracle Retail Applications の Central Office 12.0
  • Oracle Retail Applications の Central Office 12.0.9IN
  • Oracle Retail Applications の Central Office 13.0
  • Oracle Retail Applications の Central Office 13.1
  • Oracle Retail Applications の Central Office 13.2
  • Oracle Retail Applications の Central Office 13.3
  • Oracle Retail Applications の Central Office 13.4
  • Oracle Retail Applications の Central Office 14.0
  • Oracle Retail Applications の Central Office 8.0
  • Oracle Retail Applications の Clearance Optimization Engine 13.3
  • Oracle Retail Applications の Clearance Optimization Engine 13.4
  • Oracle Retail Applications の Clearance Optimization Engine 14.0
  • Oracle Retail Applications の Invoice Matching 11.0
  • Oracle Retail Applications の Invoice Matching 12.0
  • Oracle Retail Applications の Invoice Matching 12.0 IN
  • Oracle Retail Applications の Invoice Matching 12.1
  • Oracle Retail Applications の Invoice Matching 13.0
  • Oracle Retail Applications の Invoice Matching 13.1
  • Oracle Retail Applications の Invoice Matching 13.2
  • Oracle Retail Applications の Invoice Matching 14.0
  • Oracle Retail Applications の Markdown Optimization 12.0
  • Oracle Retail Applications の Markdown Optimization 13.0
  • Oracle Retail Applications の Markdown Optimization 13.1
  • Oracle Retail Applications の Markdown Optimization 13.2
  • Oracle Retail Applications の Markdown Optimization 13.4
  • Oracle Retail Applications の Returns Management 13.1
  • Oracle Retail Applications の Returns Management 13.2
  • Oracle Retail Applications の Returns Management 13.3
  • Oracle Retail Applications の Returns Management 13.4
  • Oracle Retail Applications の Returns Management 14.0
  • Oracle Retail Applications の Returns Management 2.0
  • Oracle WebLogic Server 10.0.2.0
  • Oracle WebLogic Server 10.3.6.0
  • Oracle WebLogic Server 12.1.1.0
  • Oracle WebLogic Server 12.1.2.0
  • Oracle WebLogic Server 12.1.3.0
ヒューレット・パッカード
  • HP Device Manager
  • HP XP P9000 Replication Manager
  • HP XP P9000 Tiered Storage Manager
  • HP XP7 Global Link Manager Software
株式会社エヌ・ティ・ティ・データ
  • TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで
日立
  • Hitachi Device Manager Software
  • Hitachi Global Link Manager Software
  • Hitachi Replication Manager Software
  • Hitachi Tiered Storage Manager Software
  • Hitachi Tuning Manager Software
  • Job Management Partner 1/Performance Management - Web Console
  • JP1/Performance Management - Manager Web Option
  • JP1/Performance Management - Web Console
富士通
  • FUJITSU Integrated System HA Database Ready
  • Interstage Business Analytics Modeling Server
  • Interstage Business Process Manager Analytics
  • Interstage Mobile Manager
  • Interstage eXtreme Transaction Processing Server
  • Interstage Navigator Explorer Server
  • Interstage Application Development Cycle Manager
  • Interstage Application Framework Suite
  • Interstage Application Server
  • Interstage Apworks
  • Interstage Business Application Server
  • Interstage Job Workload Server
  • Interstage Service Integrator
  • Interstage Studio
  • ServerView Resource Orchestrator
  • Symfoware Analytics Server
  • Symfoware Server
  • Systemwalker Service Catalog Manager
  • Systemwalker Service Quality Coordinator
  • Systemwalker Software Configuration Manager
  • TRIOLE クラウドミドルセット Bセット
  • クラウド インフラ マネージメント ソフトウェア

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS14-018HS14-020 をご確認ください。

本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 CVE-2014-0094 他 に関する影響など をご確認ください。

本脆弱性の影響を受けるヒューレット・パッカード製品の詳細については、ベンダ情報 HPSBST03160 SSRT101747 をご確認ください。
想定される影響

第三者により、class パラメータを介して、ClassLoader を "操作 (manipulate)" され、任意のコードを実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Apache Software Foundation IBM
  • IBM Support Document : 1675523
  • IBM Support Document : 1676303
  • IBM Support Document : 1676375
  • IBM Support Document : 1676931
  • IBM Support Document : 1680848
  • IBM Support Document : 1680194
  • IBM Support Document : 1676091
  • IBM セキュリティー情報 : 1678009
  • IBM セキュリティー情報 : 1678621
  • IBM セキュリティー情報 : 1681190
  • IBM セキュリティー情報 : 1680767
オラクル ヒューレット・パッカード レッドハット 株式会社エヌ・ティ・ティ・データ 日立
  • Hitachi Software Vulnerability Information : HS14-018
  • Hitachi Software Vulnerability Information : HS14-020
  • セキュリティ情報 : HS14-018
  • セキュリティ情報 : HS14-020
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0114
参考情報

  1. JVN iPedia : JVNDB-2014-000056
  2. National Vulnerability Database (NVD) : CVE-2014-0114
更新履歴

[2014年05月01日]
  掲載
[2014年05月14日]
  影響を受けるシステム:富士通 (CVE-2014-0094 他 に関する影響) の情報を追加
  ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
  ベンダ情報:富士通 (Interstage BAS Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年06月17日]
  影響を受けるシステム:株式会社エヌ・ティ・ティ・データ (株式会社エヌ・ティ・ティ・データ の告知ページ) の情報を追加
  ベンダ情報:株式会社エヌ・ティ・ティ・データ (株式会社エヌ・ティ・ティ・データ の告知ページ) を追加
  ベンダ情報:株式会社エヌ・ティ・ティ・データ (TERASOLUNA Framework) を追加
  ベンダ情報:株式会社エヌ・ティ・ティ・データ (Apache Struts 1.2.9 with SP1 by TERASOLUNA) を追加
  参考情報:JVN iPedia (JVNDB-2014-000056) を追加
[2014年07月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:富士通 (Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年07月14日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1675523) の情報を追加
  ベンダ情報:IBM (1678009) の情報を追加
[2014年07月22日]
  タイトル:内容を更新
  概要:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  想定される影響:内容を更新
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (BEANUTILS-463) を追加
  ベンダ情報:Apache Software Foundation (Commons BeanUtils Package Version 1.9.2 Release Notes) を追加
  ベンダ情報:IBM (1676303) を追加
  ベンダ情報:IBM (1676375) を追加
  ベンダ情報:IBM (1676931) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2014 Critical Patch Update Released) を追加
  ベンダ情報:レッドハット (Does CVE-2014-0114 affect Struts 1 in Red Hat products?) を追加
  ベンダ情報:レッドハット (Bug 1116665) を追加
[2014年07月23日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS14-018) を追加
[2014年08月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS14-020) を追加
[2014年08月11日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1678621) を追加
[2014年09月02日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1680848) を追加 
  ベンダ情報:IBM (1681190) を追加
  ベンダ情報:IBM (1680767) を追加
  ベンダ情報:IBM (1680194) を追加
[2014年10月21日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加 
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
[2014年11月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード (HPSBST03160 SSRT101747) を追加
[2015年01月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch January 2015 Critical Patch Update Released) を追加
[2015年08月07日]
  ベンダ情報:IBM (1676091) を追加