JVNDB-2014-002143

JVNDB-2014-002143
Apache Xalan-Java の TransformerFactory における期待した制限を回避される脆弱性
概要
Apache Xalan-Java の TransformerFactory は、FEATURE_SECURE_PROCESSING が有効な場合、特定のプロパティを適切に制限しないため、期待した制限を回避され、任意のクラスをロードされる、または外部リソースにアクセスされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Apache Software Foundation Xalan-Java 2.7.2 未満 IBM IBM Security QRadar SIEM 7.1 MR2 IBM Security QRadar SIEM 7.2 MR2 IBM Sterling B2B Integrator 5.1 IBM Sterling Control Center 5.2.01 から 5.2.11 IBM Sterling File Gateway 2.1 オラクル Oracle Fusion Middleware の Oracle WebCenter Sites 11.1.1.8.0 Oracle Fusion Middleware の Oracle WebCenter Sites 7.6.2 Oracle Fusion Middleware の Oracle WebLogic Server 10.3.6 Oracle Fusion Middleware の Oracle WebLogic Server 12.1.2 Oracle Fusion Middleware の Oracle WebLogic Server 12.1.3 日立 Cosminexus XML Processor Hitachi Infrastructure Analytics Advisor uCosminexus Application Server -R uCosminexus Application Server Express uCosminexus Application Server Light uCosminexus Application Server Enterprise uCosminexus Application Server Smart Edition uCosminexus Application Server Standard uCosminexus Application Server Standard -R uCosminexus Client uCosminexus Client for Plug-in uCosminexus Developer 01 uCosminexus Developer Professional uCosminexus Developer Professional for Plug-in uCosminexus Developer Light uCosminexus Developer Standard uCosminexus Operator uCosminexus Primary Server Base uCosminexus Server Standard-R uCosminexus Service Architect uCosminexus Service Platform uCosminexus Service Platform - Messaging
本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。
想定される影響
第三者により、巧妙に細工された以下のプロパティ、または XSLT 1.0 の system-property 関数にバインドされた Java プロパティを介して、期待した制限を回避され、任意のクラスをロードされる、または外部リソースにアクセスされる可能性があります。 (1) xalan:content-header プロパティ (2) xalan:entities プロパティ (3) xslt:content-header プロパティ (4) xslt:entities プロパティ
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Apache Software Foundation Apache : [XALANJ-2435] Use of secure processing feature should disable some output properties Apache-SVN : Revision 1581058 IBM IBM Support Document : 1677145 IBM Support Document : 1681933 IBM Support Document : 1680703 オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices SECURITY BLOG : January 2016 Critical Patch Update Released レッドハット Red Hat Security Advisory : RHSA-2014:1351 日立 Hitachi Software Vulnerability Information : hitachi-sec-2017-113 Hitachi Software Vulnerability Information : hitachi-sec-2019-108 ソフトウェア製品セキュリティ情報 : hitachi-sec-2017-113 ソフトウェア製品セキュリティ情報 : hitachi-sec-2019-108
CWEによる脆弱性タイプ一覧 CWEとは?
認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-0107
参考情報
National Vulnerability Database (NVD) : CVE-2014-0107 関連文書 : #2014-002 Xalan-Java insufficient secure processing
更新履歴
[2014年04月21日] 掲載 [2014年08月06日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：IBM (1677145) を追加 [2014年09月09日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：IBM (1681933) を追加ベンダ情報：IBM (1680703) を追加 [2014年10月30日] ベンダ情報：レッドハット (RHSA-2014:1351) を追加 [2016年01月28日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加ベンダ情報：オラクル (January 2016 Critical Patch Update Released) を追加 [2017年05月16日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2017-113) を追加 [2019年04月16日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2019-108) を追加


公表日	2014/03/25
登録日	2014/04/21
最終更新日	2019/04/16

Apache Xalan-Java の TransformerFactory における期待した制限を回避される脆弱性