【活用ガイド】

[English]

JVNDB-2014-000056

TERASOLUNA Server Framework for Java において ClassLoader が操作可能な脆弱性

概要

株式会社エヌ・ティ・ティ・データ が提供する TERASOLUNA Server Framework for Java(Web) は、ウェブアプリケーションを作成するためのソフトウェアフレームワークです。TERASOLUNA Server Framework for Java(Web) は、Apache Struts 1.2.9 を使用しており、Apache Struts 1.2.9 には、ClassLoader が操作可能な脆弱性 (CVE-2014-0114) が存在します。そのため、TERASOLUNA Server Framework for Java(Web) も同脆弱性の影響を受けます。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


株式会社エヌ・ティ・ティ・データ
  • TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで

想定される影響

当該製品が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

2014年5月23日、本脆弱性を修正した Apache Struts 1.2.9 with SP1 by TERASOLUNA を含む TERASOLUNA Server Framework for Java(Web) 2.0.5.2 が公開されました。
ベンダ情報

Apache Software Foundation IBM
  • IBM Lotus セキュリティー情報 : 1678621
  • IBM Support Document : 1675523
  • IBM Support Document : 1676303
  • IBM Support Document : 1676375
  • IBM Support Document : 1676931
  • IBM Support Document : 1680194
  • IBM Support Document : 1680848
  • IBM Support Document : 1676091
  • IBM セキュリティー情報 : 1678009
  • IBM セキュリティー情報 : 1680767
  • IBM セキュリティー情報 : 1681190
オラクル レッドハット 株式会社エヌ・ティ・ティ・データ 日立
  • Hitachi Software Vulnerability Information : HS14-018
  • Hitachi Software Vulnerability Information : HS14-020
  • ソフトウェア製品セキュリティ情報 : HS14-018
  • ソフトウェア製品セキュリティ情報 : HS14-020
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 設計上の問題(CWE-DesignError) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0114
参考情報

  1. JVN : JVN#30962312
  2. JVN iPedia : JVNDB-2014-002308
  3. National Vulnerability Database (NVD) : CVE-2014-0114
更新履歴

  • [2014年06月17日]
      掲載
    [2014年07月09日]
      ベンダ情報:富士通 (Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114)) を追加
    [2014年07月14日]
      ベンダ情報:IBM (1675523) の情報を追加
      ベンダ情報:IBM (1678009) の情報を追加
    [2014年07月22日]
      ベンダ情報:Apache Software Foundation (BEANUTILS-463) を追加
      ベンダ情報:Apache Software Foundation (Commons BeanUtils Package Version 1.9.2 Release Notes) を追加
      ベンダ情報:IBM (1676303) を追加
      ベンダ情報:IBM (1676375) を追加
      ベンダ情報:IBM (1676931) を追加
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
      ベンダ情報:オラクル (July 2014 Critical Patch Update Released) を追加
      ベンダ情報:レッドハット (Does CVE-2014-0114 affect Struts 1 in Red Hat products?) を追加
      ベンダ情報:レッドハット (Bug 1091938) を追加
      ベンダ情報:レッドハット (Bug 1116665) を追加
    [2014年07月23日]
      ベンダ情報:日立 (HS14-018) を追加
    [2014年08月05日]
      ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
      ベンダ情報:富士通 (Interstage Business Application Server, Interstage Application Server, Interstage Apworks, Interstage Studio, Interstage Application Framework Suite, Interstage Job Workload Server, Interstage Service Integrator : Strutsの脆弱性(CVE-2014-0114)) を追加
    [2014年08月06日]
      ベンダ情報:日立 (HS14-020) を追加
    [2014年08月11日]
      ベンダ情報:IBM (1678621) を追加 
    [2014年09月02日]
      ベンダ情報:IBM (1680848) を追加 
      ベンダ情報:IBM (1681190) を追加
      ベンダ情報:IBM (1680767) を追加
      ベンダ情報:IBM (1680194) を追加
    [2014年10月21日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加 
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
      ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
    [2015年01月22日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
      ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
    [2015年08月07日]
      ベンダ情報:IBM (1676091) を追加