FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年7月18日)

1. 脆弱性の説明

HA Database ReadyをOpenインターフェースで利用している場合、Open SQL AdministratorでJavaクラスローダが操作される脆弱性問題があります。
本脆弱性問題は、CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116に該当します。

FUJITSU Integrated System HA Database Readyについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/computing/integrated-systems/primeflex-hadatabase/

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

悪意あるプログラムがクラスローダ操作の脆弱性を利用することで、Open SQL Administratorの利用が出来なくなる、またはサーバ上のファイルを操作される可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

FUJITSU Integrated System HA Database Ready

3-2.該当製品・対策Patch

製品名	バージョン	対象OS	パッケージ名	Patch ID
FUJITSU Integrated System HA Database Ready	V1.1.0A	RHEL6(Intel64)	FJSVaplam	T009522LP-01
FUJITSU Integrated System HA Database Ready	V1.0.0	RHEL6(Intel64)	FJSVaplam	T007872LP-02

パッチ入手に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

ご利用製品のバージョンレベルを確認するには、製品に添付されている「製品説明書」を参照して、下記の情報で判断してください。

適用モデル:SX1であればバージョンレベルはV1.0.0です。
適用モデル:SX2であればバージョンレベルはV1.1.0Aです。

3-3. 回避方法

回避方法はありません。
3-2.に示すセキュリティパッチを適用してください。

4. 関連情報

CVE-2014-0094
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094
The ParametersInterceptor in Apache Struts before 2.3.16.1 allows remote attackers to "manipulate" the ClassLoader via the class parameter, which is passed to the getClass method.
CVE-2014-0112
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0112
ParametersInterceptor in Apache Struts before 2.3.16.2 does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request.
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094.
CVE-2014-0113
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0113
CookieInterceptor in Apache Struts before 2.3.16.2, when a wildcard cookiesName value is used, does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request.
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094.
CVE-2014-0116
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0116
CookieInterceptor in Apache Struts 2.x before 2.3.16.3, when a wildcard cookiesName value is used, does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and modify session state via a crafted request.
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0113.
JVNDB-2014-001603
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html
Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
JVNDB-2014-000045
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html
Apache Struts において ClassLoader が操作可能な脆弱性
IPA
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)

5. 改版履歴

2014年7月18日第2版
- 「3-2. 該当製品」にPatch ID. T009522LP-01 を追加
2014年6月19日新規掲載