GTM-MML4VXJ
Skip to main content

Interstage Mobile Manager: Struts1の脆弱性(CVE-2014-0094) (2014年6月12日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

  該当製品が提供するMobile Manager管理コンソールにおいてStruts1を利用しており、Javaクラスローダーを外部から操作可能な脆弱性が確認されました。
  なお、該当製品においても、下記機能については影響を受けません。

  • Mobile Managerサーバ
  • Mobile Managerクライアント

  後述する「該当製品の確認方法」をご参照のうえ、影響の有無をご確認ください。

Interstage Mobile Managerについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/mobilemgr/

「3-3. 回避方法」を早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

  インターネット経由で本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、Webアプリケーションの利用が出来なくなる、あるいは、サーバ上の任意のファイルが読み取られるなどの被害を受ける可能性があります。
  Interstage Application ServerのInterstage HTTP Serverのアクセスログに記録されるリクエストURLのパラメータ名に「class.classLoader」が含まれている場合、本脆弱性を突いた攻撃を受けている可能性があります。

[アクセスログの例]
  ---------------------------------------------------------------------
  192.168.0.1 - - [27/Apr/2014:16:18:04 +0900] "GET /test/test.do?class.classLoader.xxx....
  ---------------------------------------------------------------------

  ただし、アクセスログに記録が残らない手段で攻撃する方法も確認されているため、ログの記録内容だけで攻撃の有無を完全に証明することはできません。

3. 該当システム・対策情報

3-1.該当システム

PRIMERGY

3-2.該当製品・対策Patch

製品名 バージョン 対象OS パッケージ名 Patch ID
Interstage Mobile Manager V8.0.0 Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 - 未定
Interstage Mobile Manager V8.1.0 Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 - 未定

パッチ入手に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。
「ソフトウェア説明書」はCD-ROM媒体中の「Disk1」ディレクトリ内に「readme.txt」として格納されています。

■脆弱性の影響を受ける一般的な例
Mobile Manager管理コンソールが動作するサーバーが、インターネットなど不特定多数のコンピュータからアクセスを受ける状態にある場合、脆弱性の影響を受ける可能性があります。
該当製品が動作するサーバーのネットワーク構成をご確認ください。

3-3. 回避方法

"class"や"Class"というパラメータが、Mobile Manager管理コンソールに到達しないようにしてください。
例えば、次のような対策が考えられます。

  • WAF(Web Application Firewall)やIPS(Intrusion Prevention System)などを使用している場合、本脆弱性への対処が可能かどうか、ご使用製品の提供元にご確認ください。
  • Interstage HTTP Serverの設定やファイアウォール等で、Mobile Manager管理コンソールを使用しているセグメントや、IPアドレスのみMobile Manager管理コンソールアクセスを許可するようにして不正アクセスを防止します。

4. 関連情報

5. 改版履歴

  • 2014年6月12日 新規掲載