JVNDB-2016-002326
|
Apache Struts2 に任意のコード実行の脆弱性
|
Apache Struts2 には、任意のコードを実行可能な脆弱性が存在します。
Apache Struts2 には、Dynamic Method Invocation を有効にしている場合、任意のコードを実行可能な脆弱性が存在します。
なお、本脆弱性を使用した proof-of-concept コードが公開されています。
National Vulnerability Database (NVD) では、CWE-77 として公開されています。
CWE-77: Improper Neutralization of Special Elements used in a Command (コマンドインジェクション)
http://cwe.mitre.org/data/definitions/77.html
|
CVSS v3 による深刻度 基本値: 8.1 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度 基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
Apache Software Foundation
- Apache Struts 2.3.20 から 2.3.28 まで (Struts 2.3.20.3 および Struts 2.3.24.3 を除く)
オラクル
- MICROS Retail XBRi Loss Prevention 10.0.1
- MICROS Retail XBRi Loss Prevention 10.5.0
- MICROS Retail XBRi Loss Prevention 10.6.0
- MICROS Retail XBRi Loss Prevention 10.7.0
- MICROS Retail XBRi Loss Prevention 10.8.0
- MICROS Retail XBRi Loss Prevention 10.8.1
- Oracle FLEXCUBE Private Banking 12.0.1
- Oracle FLEXCUBE Private Banking 12.0.3
- Oracle FLEXCUBE Private Banking 12.1.0
- Oracle FLEXCUBE Private Banking 2.0.0
- Oracle FLEXCUBE Private Banking 2.0.1
- Oracle FLEXCUBE Private Banking 2.2.0
- Siebel の Siebel Apps - E-Billing 7.1
|
|
遠隔の第三者によって、当該製品が動作しているサーバ上で任意のコードを実行される可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は Apache Struts 2.3.20.3、2.3.24.3、2.3.28.1 で修正されています。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
* Dynamic Method Invocation (DMI) を無効にする、または最新版の Apache Strust2 のソースコードをもとに独自に ActionMapper を実装する
|
Apache Software Foundation
オラクル
|
- その他(CWE-Other) [NVD評価]
|
- CVE-2016-3081
|
- JVN : JVNVU#91375252
- National Vulnerability Database (NVD) : CVE-2016-3081
- IPA 重要なセキュリティ情報 : Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032)
- JPCERT 注意喚起 : JPCERT-AT-2016-0020
- 関連文書 : 安恒安全研究院
|
- [2016年04月28日]
掲載
[2016年07月27日]
概要:内容を更新
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2016-3081) を追加
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年11月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加
|