| Title | Apache OpenJPA の BrokerFactory 機能における任意のコードを実行される脆弱性 |
|---|---|
| Summary | Apache OpenJPA の BrokerFactory 機能は、特定の巧妙に細工された OpenJPA オブジェクトの非シリアル化中に、ログトレースデータを含むローカルで実行可能な JSP ファイルを作成するため、任意のコードを実行される脆弱性があります。 |
| Possible impacts | 第三者により、シリアル化されたオブジェクトを作成され、不正に保護されたサーバプログラムを利用されることで、任意のコードを実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 28, 2013, midnight |
| Registration Date | July 16, 2013, 2:31 p.m. |
| Last Update | Feb. 20, 2014, 5:49 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Apache Software Foundation |
| Apache OpenJPA 1.2.3 未満 1.x |
| Apache OpenJPA 2.2.2 未満 2.x |
| IBM |
| IBM WebSphere Application Server 7.0.0.29 未満の 7.x |
| IBM WebSphere Application Server 8.0.0.7 未満の 8.x |
| IBM WebSphere Application Server 8.5.5 未満の 8.5.x |
| IBM WebSphere Application Server EJB 3.0 FP 6.1.0.47 未満の EJB 3.0 FP |
| IBM WebSphere Application Server OSGi and JPA FP 1.0.0.11 未満の OSGi Applications and JPA FP |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2013年07月16日] 掲載 [2014年02月20日] 影響を受けるシステム:IBM (1644047) の情報を追加 ベンダ情報:IBM (1644047) を追加 ベンダ情報:IBM (1635999) を追加 ベンダ情報:IBM (1642266) を追加 ベンダ情報:レッドハット (Bug 984034) を追加 ベンダ情報:レッドハット (RHSA-2013:1185) を追加 ベンダ情報:レッドハット (RHSA-2013:1862) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The BrokerFactory functionality in Apache OpenJPA 1.x before 1.2.3 and 2.x before 2.2.2 creates local executable JSP files containing logging trace data produced during deserialization of certain crafted OpenJPA objects, which makes it easier for remote attackers to execute arbitrary code by creating a serialized object and leveraging improperly secured server programs. |
|---|---|
| Publication Date | July 12, 2013, 7:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:36 p.m. |
| Last Update | Nov. 21, 2024, 10:50 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:openjpa:2.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:2.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:2.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:2.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:2.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:2.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:openjpa:1.0.1:*:*:*:*:*:*:* | |||||