【活用ガイド】

JVNDB-2015-005981

Adobe ColdFusion および LiveCycle Data Services で使用される Adobe BlazeDS における HTTP トラフィックをイントラネットサーバへ送信される脆弱性

概要

Adobe ColdFusion および LiveCycle Data Services で使用される Adobe BlazeDS には、サーバサイドのリクエストフォージェリ (SSRF) の問題に関する処理に不備があるため、HTTP トラフィックをイントラネットサーバへ送信される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


アドビシステムズ
  • Adobe ColdFusion 10 アップデート 18 未満の 10
  • Adobe ColdFusion 11 アップデート 7 未満の 11
  • Adobe LiveCycle Data Services 3.0.0.354175 未満の 3.0.x (Windows/Macintosh/Unix)
  • Adobe LiveCycle Data Services 3.1.0.354180 未満の 3.1.x (Windows/Macintosh/Unix)
  • Adobe LiveCycle Data Services 4.5.1.354177 未満の 4.5.x (Windows/Macintosh/Unix)
  • Adobe LiveCycle Data Services 4.6.2.354178 未満の 4.6.2.x (Windows/Macintosh/Unix)
  • Adobe LiveCycle Data Services 4.7.0.354178 未満の 4.7.x (Windows/Macintosh/Unix)
日立
  • Hitachi Automation Director
  • Hitachi Compute Systems Manager Software (海外版)
  • Hitachi Compute Systems Manager Software (国内版)
  • Hitachi Device Manager Software
  • Hitachi IT Operations Director
  • Job Management Partner 1/Automatic Operation
  • Job Management Partner 1/IT Desktop Management 2 - Manager
  • Job Management Partner 1/IT Desktop Management - Manager
  • JP1/Automatic Operation
  • JP1/IT Desktop Management 2 - Manager
  • JP1/IT Desktop Management - Manager

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS16-005 他をご確認ください。
想定される影響

第三者により、巧妙に細工された XML ドキュメントを介して、HTTP トラフィックをイントラネットサーバへ送信される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

アドビシステムズ 日立
  • Hitachi Software Vulnerability Information : HS16-005
  • Hitachi Software Vulnerability Information : HS16-007
  • Hitachi Software Vulnerability Information : HS16-009
  • ソフトウェア製品セキュリティ情報 : HS16-005
  • ソフトウェア製品セキュリティ情報 : HS16-007
  • ソフトウェア製品セキュリティ情報 : HS16-009
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-5255
参考情報

  1. National Vulnerability Database (NVD) : CVE-2015-5255
更新履歴

  • [2015年11月20日]
      掲載
    [2016年02月15日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (HS16-005) を追加
    [2016年02月22日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (HS16-007) を追加
    [2016年03月24日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (HS16-009) を追加