【活用ガイド】

[English]

JVNDB-2015-000042

TERASOLUNA Server Framework for Java(WEB) の Validator に入力値検査回避の脆弱性

概要

株式会社エヌ・ティ・ティ・データが提供する TERASOLUNA Server Framework for Java(WEB) は、ウェブアプリケーションを作成するためのソフトウェアフレームワークです。TERASOLUNA Server Framework for Java(WEB) は、Apache Struts 1.2.9 を利用しているため、Apache Struts 1 の Validator に存在する脆弱性の影響を受けます。

Apache Struts 1.1 以降の Validator には、画面遷移における複数ページでの入力値検査ルールを効率的に定義する機能 (以下 MPV 機能とする) が存在します。
MPV 機能には、入力値検査が不正に回避される脆弱性が存在します。
Apache Struts 1 の Validator を使用している場合、MPV 機能を明示的に使用していなくても、本脆弱性の影響を受けます。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


株式会社エヌ・ティ・ティ・データ
  • TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.2 まで

詳しくは、開発者が提供する情報をご確認ください。
想定される影響

アプリケーションの実装により異なりますが、入力値検査が回避されることで、想定外のデータがデータベースに登録されるなどの可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

2015年3月24日、本脆弱性を修正した Apache Struts 1.2.9 with SP2 by TERASOLUNA を含む TERASOLUNA Server Framework for Java(Web) 2.0.5.3 が公開されました。
また、株式会社エヌ・ティ・ティ・データによると、本脆弱性を修正した Apache Struts 1.2.9 with SP2 by TERASOLUNA を単体でも公開したとのことです。
ベンダ情報

株式会社エヌ・ティ・ティ・データ
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-0899
参考情報

  1. JVN : JVN#86448949
  2. National Vulnerability Database (NVD) : CVE-2015-0899
更新履歴

  • [2015年03月24日]
      掲載
    [2015年04月10日]
      概要:内容を更新
    [2016年08月26日]
      参考情報:National Vulnerability Database (NVD) (CVE-2015-0899) を追加