FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年7月18日)
1. 脆弱性の説明
HA Database ReadyをOpenインターフェースで利用している場合、Open SQL AdministratorでJavaクラスローダが操作される脆弱性問題があります。
本脆弱性問題は、CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116に該当します。
FUJITSU Integrated System HA Database Readyについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/computing/integrated-systems/primeflex-hadatabase/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
悪意あるプログラムがクラスローダ操作の脆弱性を利用することで、Open SQL Administratorの利用が出来なくなる、またはサーバ上のファイルを操作される可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
FUJITSU Integrated System HA Database Ready
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
FUJITSU Integrated System HA Database Ready | V1.1.0A | RHEL6(Intel64) | FJSVaplam | T009522LP-01 |
FUJITSU Integrated System HA Database Ready | V1.0.0 | RHEL6(Intel64) | FJSVaplam | T007872LP-02 |
パッチ入手に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
ご利用製品のバージョンレベルを確認するには、製品に添付されている「製品説明書」を参照して、下記の情報で判断してください。
適用モデル:SX1であればバージョンレベルはV1.0.0です。
適用モデル:SX2であればバージョンレベルはV1.1.0Aです。
3-3. 回避方法
回避方法はありません。
3-2.に示すセキュリティパッチを適用してください。
4. 関連情報
- CVE-2014-0094
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094
The ParametersInterceptor in Apache Struts before 2.3.16.1 allows remote attackers to "manipulate" the ClassLoader via the class parameter, which is passed to the getClass method. - CVE-2014-0112
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0112
ParametersInterceptor in Apache Struts before 2.3.16.2 does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request.
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094. - CVE-2014-0113
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0113
CookieInterceptor in Apache Struts before 2.3.16.2, when a wildcard cookiesName value is used, does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request.
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094. - CVE-2014-0116
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0116
CookieInterceptor in Apache Struts 2.x before 2.3.16.3, when a wildcard cookiesName value is used, does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and modify session state via a crafted request.
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0113. - JVNDB-2014-001603
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html
Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性 - JVNDB-2014-000045
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html
Apache Struts において ClassLoader が操作可能な脆弱性 - IPA
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
5. 改版履歴
- 2014年7月18日 第2版
- 「3-2. 該当製品」にPatch ID. T009522LP-01 を追加
- 2014年6月19日 新規掲載