JVNDB-2016-002326

JVNDB-2016-002326
Apache Struts2 に任意のコード実行の脆弱性
概要
Apache Struts2 には、任意のコードを実行可能な脆弱性が存在します。 Apache Struts2 には、Dynamic Method Invocation を有効にしている場合、任意のコードを実行可能な脆弱性が存在します。なお、本脆弱性を使用した proof-of-concept コードが公開されています。 National Vulnerability Database (NVD) では、CWE-77 として公開されています。 CWE-77: Improper Neutralization of Special Elements used in a Command (コマンドインジェクション) http://cwe.mitre.org/data/definitions/77.html
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 8.1 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

Apache Software Foundation Apache Struts 2.3.20 から 2.3.28 まで (Struts 2.3.20.3 および Struts 2.3.24.3 を除く) オラクル MICROS Retail XBRi Loss Prevention 10.0.1 MICROS Retail XBRi Loss Prevention 10.5.0 MICROS Retail XBRi Loss Prevention 10.6.0 MICROS Retail XBRi Loss Prevention 10.7.0 MICROS Retail XBRi Loss Prevention 10.8.0 MICROS Retail XBRi Loss Prevention 10.8.1 Oracle FLEXCUBE Private Banking 12.0.1 Oracle FLEXCUBE Private Banking 12.0.3 Oracle FLEXCUBE Private Banking 12.1.0 Oracle FLEXCUBE Private Banking 2.0.0 Oracle FLEXCUBE Private Banking 2.0.1 Oracle FLEXCUBE Private Banking 2.2.0 Siebel の Siebel Apps - E-Billing 7.1

想定される影響
遠隔の第三者によって、当該製品が動作しているサーバ上で任意のコードを実行される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性は Apache Struts 2.3.20.3、2.3.24.3、2.3.28.1 で修正されています。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。　* Dynamic Method Invocation (DMI) を無効にする、または最新版の Apache Strust2 のソースコードをもとに独自に ActionMapper を実装する
ベンダ情報
Apache Software Foundation Apache Struts 2 Documentation : S2-032: Remote Code Execution can be performed via method: prefix when Dynamic Method Invocation is enabled. オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2016 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2016 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices SECURITY BLOG : July 2016 Critical Patch Update Released SECURITY BLOG : October 2016 Critical Patch Update Released
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2016-3081
参考情報
JVN : JVNVU#91375252 National Vulnerability Database (NVD) : CVE-2016-3081 IPA 重要なセキュリティ情報 : Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032) JPCERT 注意喚起 : JPCERT-AT-2016-0020 関連文書 : 安恒安全研究院
更新履歴
[2016年04月28日] 掲載 [2016年07月27日] 概要：内容を更新 CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2016-3081) を追加影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加ベンダ情報：オラクル (July 2016 Critical Patch Update Released) を追加 [2016年11月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加ベンダ情報：オラクル (October 2016 Critical Patch Update Released) を追加


公表日	2016/04/27
登録日	2016/04/28
最終更新日	2016/11/22

Apache Struts2 に任意のコード実行の脆弱性