CVE-2014-0094 CVE-2014-0114
「ClassLoader を操作されるApache Strutsの脆弱性」への富士通製品の対応について
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。
Apache Software Foundationが提供するStrutsに、ClassLoader を操作される脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113、CVE-2014-0114、CVE-2014-0116)が存在します。
掲記脆弱性に関しまして、お問い合わせの多い製品の影響情報をご案内いたします。
一覧に無いその他の製品につきましては、各製品のページで順次ご案内していきます。
影響
ブランド | 製品 | 影響 | 備考 |
---|---|---|---|
Interstage | Interstage Business Application Server
V8.0 から V11.1.0 | 有り | 詳細は、製品情報ページ「Strutsの脆弱性(CVE-2014-0114)」 をご確認ください。 |
Interstage Application Framework Suite
Enterprise Edition/ Standard Edition V6 から V7 (ClientJ Editionは影響ありません。) | 有り | ||
Interstage Application Server
Enterprise Edition V6からV11.0 Plus/ Plus Developr/ Standard Edition V6 から V7 Standard-J Edition V8 から V11.0 (Web-J Editionは影響ありません。) | 有り | ||
Interstage Studio
Enterprise Edition V9 Standard-J Edition V9/ V10/ V11.0 with UML Modeling Tool V9 (クライアント運用パッケージは影響ありません。) | 有り | ||
Interstage Apworks V6/ V7/ V8
Standard Edition V6/ V7 Standard-J Edition V8 (クライアント運用パッケージは影響ありません。) | 有り | ||
Interstage Job Workload Server
V8 から V9.3.2 | 有り | ||
Interstage Service Integrator V9 | 有り | ||
Interstage Interaction Manager V9 から V10 | 有り | 詳細は、製品情報ページ「Struts1の脆弱性(CVE-2014-0094)」 をご確認ください。 | |
Interstage Mobile Manager V8 | 有り | サポート終了に伴い、詳細情報の掲載終了 | |
Interstage Application Development Cycle Manager | 有り | 詳細は、製品情報ページ「strutsの脆弱性(CVE-2014-0094)」 をご確認ください。 | |
Interstage eXtreme Transaction Processing Server
1.0.0 から 1.1.0 | 有り | 当製品の管理コンソール(XTP管理コンソール)を利用している場合、本脆弱性の影響を受ける可能性があります。 | |
Interstage Business Process Manager Analytics
V10.0 から V12.2 | 有り | 詳細は、製品情報ページ「攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094)」 をご確認ください。 | |
Interstage Business Analytics Modeling Server V1 | 有り | ||
Interstage Navigator Explorer Server V6 から V8 | 有り | 詳細は、製品情報ページ「Strutsの脆弱性(CVE-2014-0114)」 をご確認ください。 | |
ServerView | ServerView Resource Orchestrator
Cloud Edition V3.0.0/ V3.1.0 / V3.1.1 / V3.1.2 (Virtual Edition、Express、NSオプションは影響ありません。) | 有り | 当製品の管理サーバのアカウントが知られており、かつ この管理サーバへHTTPリクエストが通るような環境の場合、本脆弱性の影響を受ける可能性があります。 |
Systemwalker | Systemwalker Service Quality Coordinator Enterprise Edition
V13.4.0 から V15.1.0 (Browser AgentとStandard Editionは影響ありません。) | 有り | 詳細は、製品情報ページ「攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094)」 をご確認ください。 |
Systemwalker Service Catalog Manager V14g
V14.1 | 有り | 当製品の管理サーバのアカウントが知られており、かつこの管理サーバへHTTPリクエストが通るような環境の場合、本脆弱性の影響を受ける可能性があります。 | |
Systemwalker Software Configuration Manager
V15.1/ V15.1.1/ V15.2 Systemwalker Software Configuration Manager V14g V14.0/ V14.1 | 有り | イントラネット内で悪意のある利用者が、本製品の管理サーバへ不正なリクエストを送信した場合、本脆弱性の影響を受ける可能性があります。 | |
TRIOLE | TRIOLE クラウドミドルセット Bセット
V1.1.0 から V1.1.2 (Aセットは影響ありません。) | 有り | ServerView Resource Orchestrator V3.1.1, V3.1.2を参照願います。 |
クラウド インフラ マネージメント ソフトウェア
1.1.0/ 1.2.0 (1.0.0は影響ありません。) | 有り | Systemwalker Service Catalog Manager V14.1 及び Systemwalker Software Configuration Manager V14.1を参照願います。 | |
FUJITSU Integrated System HA Database Ready SX1/ SX2 | 有り | 詳細は、製品情報ページ「Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116)」 をご確認ください。 | |
Symfoware | Symfoware Server
Lite Edition/ Standard Edition V12.0 | 有り | 詳細は、製品情報ページ「Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116)」 をご確認ください。 |
Symfoware Analytics Server Standard Edition
V12.0.0 | 有り | 詳細は、製品情報ページ「攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094)」 をご確認ください。 | |
VMware | 有り | 詳細は、VMware社の公開情報VMware vCenter Operations Management Suite workaround and remediation for CVE-2014-0094 and CVE-2014-0112 (2081470) (英語サイト)、およびVMware Security Advisories VMSA-2014-0007 (英語サイト)をご確認ください。 |
ブランド | 製品 | 影響 | 備考 |
---|---|---|---|
現在のところ、影響製品は確認されていません。 |
ブランド | 製品 | 影響 | 備考 |
---|---|---|---|
現在のところ、影響製品は確認されていません。 |
問い合わせ先
- 各製品の修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDesk の契約が必要です。
各製品についてのお問い合わせは、お客様専用ホームページ[SupportDesk-Web]からお願いします。
参考情報
- 国内情報
- IPA:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html - JVNiPedia
- JVNDB-2014-000045
Apache Struts において ClassLoader が操作可能な脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html - JVNDB-2014-002308
Apache Struts の ActionForm オブジェクトにおける ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002308.html - JVNDB-2014-001603
Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html - JVNDB-2014-002269
Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002269.html
- JVNDB-2014-000045
- JVN:JVN#19294237
Apache Struts において ClassLoader が操作可能な脆弱性
http://jvn.jp/jp/JVN19294237/index.html
- IPA:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
- CVE情報(英語)
- CVE-2014-0094
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094 - CVE-2014-0112
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0112 - CVE-2014-0113
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0113 - CVE-2014-0114
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0114 - CVE-2014-0116
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0116
- CVE-2014-0094
更新履歴
- 2014年7月8日:「影響」で以下を更新
- 「Interstage Navigator Explorer Server」の備考欄に製品情報へのリンクを記載
- 2014年6月30日:「影響」で以下を更新
- 「VMware」を追加
- 2014年6月19日:「影響」で以下を更新
- 「FUJITSU Integrated System HA Database Ready SX1/ SX2」の備考欄に製品情報へのリンクを記載
- 2014年6月12日:「影響」で以下を更新
- 「Interstage Interaction Manager」を追加
- 「Interstage Mobile Manager」の備考欄に製品情報へのリンクを記載
- 2014年6月2日:「影響」で以下を更新
- 「Symfoware Server」の備考欄に製品情報へのリンクを記載
- 2014年5月27日:「影響」で以下を更新
- 「Interstage Navigator Explorer Server」を追加
- 「Interstage Application Development Cycle Manager」の備考欄に製品情報へのリンクを記載
- 2014年5月16日:「影響」で以下を更新
- 「Interstage Business Process Manager Analytics」「Systemwalker Service Quality Coordinator」「Systemwalker Service Quality Coordinator」「Symfoware Analytics Server」の備考欄に製品情報へのリンクを記載
- 2014年5月16日:「影響」で以下を更新
- 「Interstage Interaction Manager」を追加
- 「ServerView Resource Orchestrator」の対象バージョンを詳細化
- 「TRIOLE クラウドミドルセット Bセット」の備考を修正
- 2014年5月13日:新規掲載