JVNDB-2014-000045

Apache Struts において ClassLoader が操作可能な脆弱性

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NTT-CERT

Apache Software Foundation

• Apache Struts 2.0.0 から 2.3.16.1 まで

ミラクル・リナックス

• Asianux Server 3 for x86(32bit)
• Asianux Server 3 for x86_64(64bit)

富士通

• FUJITSU Integrated System HA Database Ready
• Interstage Business Analytics Modeling Server
• Interstage Business Process Manager Analytics
• Interstage Mobile Manager
• Interstage eXtreme Transaction Processing Server
• Interstage Application Development Cycle Manager
• Interstage Application Framework Suite
• Interstage Application Server
• Interstage Apworks
• Interstage Business Application Server
• Interstage Interaction Manager
• Interstage Job Workload Server
• Interstage Service Integrator
• Interstage Studio
• ServerView Resource Orchestrator
• Symfoware Analytics Server
• Symfoware Server
• Systemwalker Service Catalog Manager
• Systemwalker Service Quality Coordinator
• Systemwalker Software Configuration Manager
• TRIOLE クラウドミドルセット Bセット
• クラウド インフラ マネージメント ソフトウェア

既にサポートが終了している Apache Struts 1系も類似の脆弱性の存在が報告されています。

本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 CVE-2014-0094 他 に関する影響 をご確認ください。

Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。

[アップデートする]
2014年4月25日、本脆弱性を修正した Apache Struts 2.3.16.2 が公開されました。
開発者が提供する情報をもとに、 Apache Struts 2.3.16.2 にアップグレードしてください。

[ワークアラウンドを実施する]
Apache Struts 2.3.16.2 へのアップグレードが行えない場合、本脆弱性の影響を軽減することができる以下の回避策を適用してください。

　* params インターセプターへの参照を独自に記述している場合、excludeParams を適切に設定する
　* defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する

Apache Software Foundation

• Apache Struts : Security Bulletins S2-020
• Apache Struts : Security Bulletins S2-021
• Apache Struts : Download a Release of Apache Struts -- Full Releases Struts 2.3.16.2
• Apache Struts : Announcements - 24 April 2014 - Struts 2.3.16.2 General Availability Release - Security Fix Release

Huawei

• Security Advisory : Huawei-SA-20140707-01-Struts2

IBM

• IBM Support Document : 1680848
• IBM セキュリティー情報 : 1681190

VMware

• Knowledge Base : 2081470
• VMware Security Advisories : VMSA-2014-0007

アライドテレシス

• JVN : アライドテレシス株式会社からの情報

オラクル

• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2015
• SECURITY BLOG : April 2015 Critical Patch Update Released

トレンドマイクロ

• トレンドマイクロ Q&Aページ : アラート/アドバイザリ: Apache Strutsの脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113)に関するトレンドマイクロ製品への影響範囲

ミラクル・リナックス

• Asianux Technical Support Network : struts-1.2.9-4jpp.8.AXS3 

レッドハット

• Red Hat Bugzilla : Bug 1091939

日本電気

• NEC製品セキュリティ情報 : NV15-001

富士通

• 富士通 セキュリティ情報 : CVE-2014-0094 他 に関する影響
• 富士通 セキュリティ情報 : Interstage BPMA他 CVE-2014-0094
• 富士通 セキュリティ情報 : Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)
• 富士通 セキュリティ情報 : Symfoware Server（Openインタフェース）: Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)
• 富士通 セキュリティ情報 : Interstage Interaction Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)
• 富士通 セキュリティ情報 : Interstage Mobile Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)
• 富士通 セキュリティ情報 : FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年6月19日)

1. 設計上の問題(CWE-DesignError) [IPA評価]

1. CVE-2014-0094
2. CVE-2014-0112

1. JVN : JVN#19294237
2. National Vulnerability Database (NVD) : CVE-2014-0094
3. National Vulnerability Database (NVD) : CVE-2014-0112
4. US-CERT Vulnerability Note : VU#719225
5. 関連文書 : Ver 7.3.0.0 - What’s New?
6. IPA 緊急対策情報 : 更新：Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)

• [2014年04月25日]
    掲載
  [2014年04月25日]
    対策：内容を更新
  [2014年04月28日]
    対策：内容を更新
    ベンダ情報：Apache Software Foundation (Download a Release of Apache Struts -- Full Releases Struts 2.3.16.2) を追加
    ベンダ情報：Apache Software Foundation (S2-021) を追加
  [2014年05月01日]
    影響を受けるシステム：内容を更新
    ベンダ情報：レッドハット (Bug 1091939) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2014-0094) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2014-0112) を追加
    参考情報：US-CERT Vulnerability Note (VU#719225) を追加
  [2014年05月13日]
    影響を受けるシステム：ミラクル・リナックス (struts-1.2.9-4jpp.8.AXS3) の情報を追加
    ベンダ情報：トレンドマイクロ (アラート/アドバイザリ: Apache Strutsの脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113)に関するトレンドマイクロ製品への影響範囲) を追加
    ベンダ情報：ミラクル・リナックス (struts-1.2.9-4jpp.8.AXS3) を追加
  [2014年05月15日]
    影響を受けるシステム：富士通 (CVE-2014-0094 他 に関する影響) の情報を追加
    ベンダ情報：富士通 (CVE-2014-0094 他 に関する影響) を追加
  [2014年05月20日]
    ベンダ情報：富士通 (Interstage BPMA他 CVE-2014-0094) を追加
  [2014年05月28日]
    ベンダ情報：富士通 (Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)) を追加
  [2014年06月03日]
    ベンダ情報：富士通 (Symfoware Server（Openインタフェース）: Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)) を追加
  [2014年06月16日]
    影響を受けるシステム：富士通 (Interstage Interaction Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)) の情報を追加
    ベンダ情報：富士通 (Interstage Interaction Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)) を追加
    ベンダ情報：富士通 (Interstage Mobile Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)) を追加
  [2014年06月23日]
    ベンダ情報：富士通 (FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年6月19日)) を追加
  [2014年07月01日]
    ベンダ情報：VMware (2081470) を追加
    ベンダ情報：VMware (VMSA-2014-0007) を追加
  [2014年08月06日]
    ベンダ情報：Huawei (Huawei-SA-20140707-01-Struts2) を追加
  [2014年09月02日]
    ベンダ情報：IBM (1680848) を追加
    ベンダ情報：IBM (1681190) を追加
  [2015年01月21日]
    ベンダ情報：日本電気 (NV15-001) を追加
  [2015年04月14日]
    ベンダ情報：アライドテレシス (アライドテレシス株式会社からの情報) を追加
  [2015年04月17日]
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2015 Critical Patch Update Released) を追加
  [2015年05月08日]
    参考情報：関連文書 (Ver 7.3.0.0 - What’s New?) を追加