Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114) (2014年7月8日)
1. 脆弱性の説明
Interstage Navigator Explorer Serverのテキストマイニング機能に内包しているStruts 1.1に、ClassLoader を操作される脆弱性(CVE-2014-0114)が存在します。
Interstage Navigatorについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/navigator/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
製品のテキストマイニング機能がウェブアプリケーションの形態で提供されており、このウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行される可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
Windows, Solaris
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Navigator Explorer Server | V8.0 L10 | Windows Server 2003/ Windows 2000 Server | - | T010350WP-01 |
Interstage Navigator Explorer Server | 8.0.0 | Solaris 8/ 9/ 10 | - | T010351SP-01 |
Interstage Navigator Explorer Server | V7.0 L10 | Windows Server 2003/ Windows 2000 Server | - | 未定 |
Interstage Navigator Explorer Server | 7.0.0 | Solaris 7/ 8/ 9/ 10 | - | 未定 |
Interstage Navigator Explorer Server | V6.0 L20 | Windows Server 2003/ Windows 2000 Server | - | 未定 |
Interstage Navigator Explorer Server | 6.1.0 | Solaris | - | 未定 |
Patchの入手等に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
- Windows版(V6~V8)
スタートメニューより、すべてのプログラムを開き、Interstage Navigator Exlplore Web項目があるかを確認する。 - Solaris版(V6~V8)
root権限で以下のコマンドを実行し、詳細情報が表示されるかを確認する。
# pkginfo -l FJSVxpnaw
3-3. 回避方法
ありません。
4. 関連情報
- CVE情報(CVE-2014-0114) Struts 1系の脆弱性情報
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0114 - JVN公開情報 (前記CVE-2014-0114に相当するStruts 2に関する情報)
Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html - IPA公開情報 (前記CVE-2014-0114に相当するStruts 2に関する情報)
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
5. 改版履歴
- 2014年7月8日 新規掲載