Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114) (2014年7月8日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Interstage Navigator Explorer Serverのテキストマイニング機能に内包しているStruts 1.1に、ClassLoader を操作される脆弱性(CVE-2014-0114)が存在します。

Interstage Navigatorについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/navigator/

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

製品のテキストマイニング機能がウェブアプリケーションの形態で提供されており、このウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行される可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

Windows, Solaris

3-2.該当製品・対策Patch

製品名バージョン対象OSパッケージ名Patch ID
Interstage Navigator Explorer ServerV8.0 L10Windows Server 2003/ Windows 2000 Server-T010350WP-01
Interstage Navigator Explorer Server8.0.0Solaris 8/ 9/ 10-T010351SP-01
Interstage Navigator Explorer ServerV7.0 L10Windows Server 2003/ Windows 2000 Server-未定
Interstage Navigator Explorer Server7.0.0Solaris 7/ 8/ 9/ 10-未定
Interstage Navigator Explorer ServerV6.0 L20Windows Server 2003/ Windows 2000 Server-未定
Interstage Navigator Explorer Server6.1.0Solaris-未定

Patchの入手等に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

  • Windows版(V6~V8)
    スタートメニューより、すべてのプログラムを開き、Interstage Navigator Exlplore Web項目があるかを確認する。
  • Solaris版(V6~V8)
    root権限で以下のコマンドを実行し、詳細情報が表示されるかを確認する。
    # pkginfo -l FJSVxpnaw

3-3. 回避方法

ありません。

4. 関連情報

5. 改版履歴

  • 2014年7月8日 新規掲載

ページの先頭へ