| タイトル | JBoss RichFaces において任意のコードが実行される脆弱性 |
|---|---|
| 概要 | JBoss RichFaces には、deserialize の処理に問題があり、任意のコードが実行される脆弱性が存在します。 JBoss RichFaces は、Ajax 機能を持つウェブアプリケーションを作成するためのフレームワークです。JBoss RichFaces で作成されたアプリケーションには、外部からの入力を自動的に deserialize する機能が提供されています。この機能は、信頼できないデータを deserialize してしまうため、任意のコードが実行される脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏 |
| 想定される影響 | 細工された入力を処理することで、サーバ上で任意のファイルが書き込まれたり、任意のコードを実行されたりするなどの可能性があります。 |
| 対策 | [パッチを適用する] 開発者が提供する情報をもとに各バージョンに対応したパッチを適用してください。 |
| 公表日 | 2013年7月19日0:00 |
| 登録日 | 2013年7月19日12:00 |
| 最終更新日 | 2013年7月24日16:16 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| レッドハット |
| JBoss Enterprise Application Platform 4.3.0 CP10 まで |
| JBoss Enterprise Application Platform 5.2.0 までの 5.x |
| JBoss Enterprise Web Platform 5.2.0 まで |
| JBoss RichFaces 3.x |
| JBoss RichFaces 4.x |
| JBoss RichFaces 5.x |
| JBoss Web Framework Kit 2.3.0 未満 |
| Red Hat JBoss BRMS 5.3.1 まで |
| Red Hat JBoss Operations Network 2.4.2 まで |
| Red Hat JBoss Operations Network 3.1.2 までの 3.x |
| Red Hat JBoss Portal 4.3 CP07 まで |
| Red Hat JBoss Portal 5.2.2 までの 5.x |
| Red Hat JBoss SOA Platform 4.3.0 CP05 まで |
| Red Hat JBoss SOA Platform 5.3.1 までの 5.x |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年07月19日] 掲載 [2013年07月24日] 影響を受けるシステム:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2013-2165) を追加 |
2018年2月17日10:37 |
| 概要 | ResourceBuilderImpl.java in the RichFaces 3.x through 5.x implementation in Red Hat JBoss Web Framework Kit before 2.3.0, Red Hat JBoss Web Platform through 5.2.0, Red Hat JBoss Enterprise Application Platform through 4.3.0 CP10 and 5.x through 5.2.0, Red Hat JBoss BRMS through 5.3.1, Red Hat JBoss SOA Platform through 4.3.0 CP05 and 5.x through 5.3.1, Red Hat JBoss Portal through 4.3 CP07 and 5.x through 5.2.2, and Red Hat JBoss Operations Network through 2.4.2 and 3.x through 3.1.2 does not restrict the classes for which deserialization methods can be called, which allows remote attackers to execute arbitrary code via crafted serialized data. |
|---|---|
| 公表日 | 2013年7月23日20:03 |
| 登録日 | 2021年1月26日15:37 |
| 最終更新日 | 2024年11月21日10:51 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:jboss_operations_network:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.5.0:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:cp03:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_web_framework_kit:2.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:cp10:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:tp02:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:4.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:5.0.0:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_web_framework_kit:1.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.3.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp02:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:cp06:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.4.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_web_framework_kit:1.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp01:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:1.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:cp07:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_web_framework_kit:*:*:*:*:*:*:*:* | 2.2.0 | ||||
| cpe:2.3:a:redhat:richfaces:3.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp05:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp04:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.3.2:sr1:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp04:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_web_framework_kit:1.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp01:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp03:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.3.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.2.0:sr1:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:cp05:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp05:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_operations_network:2.4.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:cp03:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_web_framework_kit:2.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:richfaces:4.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_brms_platform:5.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:cp04:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.2.0:cp02:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_soa_platform:5.3.1:*:*:*:*:*:*:* | |||||