JVNDB-2014-004490
|
Hibernate Validator の ReflectionHelper における Java Security Manager の制限を回避される脆弱性
|
|
Hibernate Validator の ReflectionHelper (org.hibernate.validator.util.ReflectionHelper) には、Java Security Manager (JSM) の制限を回避され、制限されたリフレクション (reflection) の呼び出しを実行される脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Hibernate
- Hibernate Validator 4.1.0 以上 4.2.1 未満
- Hibernate Validator 4.3.2 未満の 4.3.x
- Hibernate Validator 5.1.2 未満の 5.x
日立
- Cosminexus Component Container
- uCosminexus Application Server
- uCosminexus Application Server (64)
- uCosminexus Application Server -R
- uCosminexus Developer
- uCosminexus Primary Server Base
- uCosminexus Primary Server Base(64)
- uCosminexus Service Architect
- uCosminexus Service Platform
- uCosminexus Service Platform (64)
- プログラミング環境 for Java
|
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS15-009 をご確認ください。
|
|
攻撃者により、巧妙に細工されたアプリケーションを介して、Java Security Manager (JSM) の制限を回避され、制限されたリフレクション (reflection) の呼び出しを実行される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Hibernate
レッドハット
日立
- Hitachi Software Vulnerability Information : HS15-009
- ソフトウェア製品セキュリティ情報 : HS15-009
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
|
- CVE-2014-3558
|
|
- National Vulnerability Database (NVD) : CVE-2014-3558
|
|
- [2014年10月03日]
掲載
[2015年03月02日]
ベンダ情報:Hibernate (victims-cve-db/database/java/2014/3558.yaml) を追加
ベンダ情報:レッドハット (RHSA-2015:0234) を追加
ベンダ情報:レッドハット (RHSA-2015:0235) を追加
[2015年04月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (HS15-009) を追加
[2015年05月11日]
ベンダ情報:レッドハット (RHSA-2015:0720) を追加
[2015年06月09日]
ベンダ情報:レッドハット (RHSA-2015:0125) を追加
|
