| Title | Apache Struts において ClassLoader が操作可能な脆弱性 |
|---|---|
| Summary | Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTT-CERT |
| Possible impacts | Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。 |
| Solution | [アップデートする] 2014年4月25日、本脆弱性を修正した Apache Struts 2.3.16.2 が公開されました。 開発者が提供する情報をもとに、 Apache Struts 2.3.16.2 にアップグレードしてください。 [ワークアラウンドを実施する] Apache Struts 2.3.16.2 へのアップグレードが行えない場合、本脆弱性の影響を軽減することができる以下の回避策を適用してください。 * params インターセプターへの参照を独自に記述している場合、excludeParams を適切に設定する * defaultStack を使用している場合、 excludeParams を適切に設定したスタックを使用するよう変更する |
| Publication Date | April 25, 2014, midnight |
| Registration Date | April 25, 2014, 2:01 p.m. |
| Last Update | May 8, 2015, 5:58 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Apache Software Foundation |
| Apache Struts 2.0.0 から 2.3.16.1 まで |
| サイバートラスト株式会社 |
| Asianux Server 3 for x86(32bit) |
| Asianux Server 3 for x86_64(64bit) |
| 富士通 |
| FUJITSU Integrated System HA Database Ready |
| Interstage Business Analytics Modeling Server |
| Interstage Business Process Manager Analytics |
| Interstage eXtreme Transaction Processing Server |
| Interstage Mobile Manager |
| Interstage Application Development Cycle Manager |
| Interstage Application Framework Suite |
| Interstage Application Server |
| Interstage Apworks |
| Interstage Business Application Server |
| Interstage Interaction Manager |
| Interstage Job Workload Server |
| Interstage Service Integrator |
| Interstage Studio |
| ServerView Resource Orchestrator |
| Symfoware Analytics Server |
| Symfoware Server |
| Systemwalker Service Catalog Manager |
| Systemwalker Service Quality Coordinator |
| Systemwalker Software Configuration Manager |
| TRIOLE クラウドミドルセット Bセット |
| クラウド インフラ マネージメント ソフトウェア |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年04月25日] 掲載 [2014年04月25日] 対策:内容を更新 [2014年04月28日] 対策:内容を更新 ベンダ情報:Apache Software Foundation (Download a Release of Apache Struts -- Full Releases Struts 2.3.16.2) を追加 ベンダ情報:Apache Software Foundation (S2-021) を追加 [2014年05月01日] 影響を受けるシステム:内容を更新 ベンダ情報:レッドハット (Bug 1091939) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2014-0094) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2014-0112) を追加 参考情報:US-CERT Vulnerability Note (VU#719225) を追加 [2014年05月13日] 影響を受けるシステム:ミラクル・リナックス (struts-1.2.9-4jpp.8.AXS3) の情報を追加 ベンダ情報:トレンドマイクロ (アラート/アドバイザリ: Apache Strutsの脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113)に関するトレンドマイクロ製品への影響範囲) を追加 ベンダ情報:ミラクル・リナックス (struts-1.2.9-4jpp.8.AXS3) を追加 [2014年05月15日] 影響を受けるシステム:富士通 (CVE-2014-0094 他 に関する影響) の情報を追加 ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加 [2014年05月20日] ベンダ情報:富士通 (Interstage BPMA他 CVE-2014-0094) を追加 [2014年05月28日] ベンダ情報:富士通 (Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)) を追加 [2014年06月03日] ベンダ情報:富士通 (Symfoware Server(Openインタフェース): Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)) を追加 [2014年06月16日] 影響を受けるシステム:富士通 (Interstage Interaction Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)) の情報を追加 ベンダ情報:富士通 (Interstage Interaction Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)) を追加 ベンダ情報:富士通 (Interstage Mobile Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)) を追加 [2014年06月23日] ベンダ情報:富士通 (FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年6月19日)) を追加 [2014年07月01日] ベンダ情報:VMware (2081470) を追加 ベンダ情報:VMware (VMSA-2014-0007) を追加 [2014年08月06日] ベンダ情報:Huawei (Huawei-SA-20140707-01-Struts2) を追加 [2014年09月02日] ベンダ情報:IBM (1680848) を追加 ベンダ情報:IBM (1681190) を追加 [2015年01月21日] ベンダ情報:日本電気 (NV15-001) を追加 [2015年04月14日] ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加 [2015年04月17日] ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加 ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加 ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加 [2015年05月08日] 参考情報:関連文書 (Ver 7.3.0.0 - What’s New?) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The ParametersInterceptor in Apache Struts before 2.3.16.2 allows remote attackers to "manipulate" the ClassLoader via the class parameter, which is passed to the getClass method. |
|---|---|
| Publication Date | March 11, 2014, 10 p.m. |
| Registration Date | Jan. 26, 2021, 3:04 p.m. |
| Last Update | Nov. 21, 2024, 11:01 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* | 2.0.0 | 2.3.16.1 | |||
| Summary | ParametersInterceptor in Apache Struts before 2.3.20 does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094. |
|---|---|
| Publication Date | April 29, 2014, 7:37 p.m. |
| Registration Date | Jan. 26, 2021, 3:04 p.m. |
| Last Update | Nov. 21, 2024, 11:01 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* | 2.0.0 | 2.3.16.2 | |||