【活用ガイド】

[English]

JVNDB-2016-000096

Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性

概要

Apache Struts 1 の ActionForm は、次の 2 つの条件が成立する場合、Servlet や ClassLoader など、サーバのメモリ上にあるコンポーネントを操作可能な脆弱性が存在します。

条件1.
次の ActionForm (サブクラスを含む) をセッションスコープに置いており、同一のセッションを処理する複数のスレッドが、同一の ActionForm インスタンスにアクセスできる
・ActionForm (DynaActionForm とそのサブクラスのように、DynaBean インターフェースを実装したクラスは除く)
・ValidatingActionForm
・ValidatorForm
・ValidatorActionForm

条件2.
マルチパート形式のリクエストを受け付ける
(ウェブアプリケーションがマルチパート形式のフォームを使用していない場合も該当する)

CVSS による深刻度 (CVSS とは?)

基本値: 6.8 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

[参考] CVSS v3 による深刻度
基本値: 8.1 (重要) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


Apache Software Foundation
  • Apache Struts バージョン 1.0 から 1.3.10 まで

想定される影響

ウェブアプリケーションの実装により異なりますが、サービス運用妨害 (DoS) 状態にさせられる可能性があります。
場合によっては ClassLoader を操作されることで、Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
対策

2013年4月5日をもって、Apache Struts 1 はサポートを終了しています。
対策方法や修正パッチの有無は、Struts 1 を使用する各開発者の情報をご確認ください。
ベンダ情報

Apache Software Foundation オラクル リコー レッドハット 株式会社エヌ・ティ・ティ・データ 日本電気
  • NEC製品セキュリティ情報 : NV16-013
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-1181
参考情報

  1. JVN : JVN#03188560
  2. JVN : JVNVU#91417143
  3. National Vulnerability Database (NVD) : CVE-2016-1181
  4. 関連文書 : Fixed CVE-2016-1181 and CVE-2016-1182
更新履歴

[2016年06月07日]
  掲載
[2016年07月27日]
  参考情報:National Vulnerability Database (NVD) (CVE-2016-1181) を追加
  ベンダ情報:日本電気 (NV16-013) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年08月04日]
  ベンダ情報:レッドハット (Bug 1343538) を追加
  参考情報:関連文書 (Fixed CVE-2016-1181 and CVE-2016-1182) を追加
[2016年11月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加
[2017年02月20日]
  参考情報:JVN (JVNVU#91417143) を追加