Apache Struts で発見された脆弱性について下記URLにて公表された脆弱性の報告についてintra-mart製品は影響はないでしょうか?

公表された Apache Struts で発見された脆弱性は以下です。
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

intra-mart BaseModule/WebPlatformのアプリケーションサーバであるResinでは、この脆弱性を利用して任意のコマンドの実行や内部のファイルなどを漏洩するような操作は行えないことを確認しております。

しかし、Resinに対する一部設定(dependencyCheckIntervalなど)を変更できる可能性がある為、脆弱性に対応したパッチを用意いたしました。
以下のパッチダウンロードサイトよりダウンロードしてREADME.txtをご参照の上、適用してください。 
Apache Struts脆弱性対応に対するパッチ
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1194
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1292

※対象製品
intra-mart BaseModule Ver4.1/Ver4.2/Ver4.3/Ver5.0/Ver5.1
intra-mart WebPlatform/AppFramework Ver6.0/Ver6.1/Ver7.0/Ver7.1/Ver7.2


※弊社製品に含まれる他のフレームワークに対する影響
スクリプト開発モデル、JavaEE開発モデルは今回の脆弱性は存在しません。

※2014/4/30追記 
なお、2014/4/25リリースパッチでは、multipart/form-dataを利用した攻撃には完全に対応できていませんので、
Struts自体での対応を含んだパッチを公開致しました。 
 
また、intra-mart Accel Platformに関しては、SAStrutsを利用する際に、Struts1を組み込んでおりますが、SAStrutsでは、この脆弱性の影響を受けません。
(参考:http://d.hatena.ne.jp/higayasuo/20140425/1398403491 ) 

エクステンションのIM-SecureSignOnでもStruts1を利用しておりますが、こちらに関しては、今回の脆弱性の影響を受けないことを確認しておりますので、対処は不要です。 

2014/4/28追記:
Ver4.1,Ver4.2,Ver4.3の場合:
・Strutsを利用したアプリケーションを開発、利用されている場合は、対応が必要。
・インストール時にサンプルを導入した場合は、Strutsを利用したサンプルアプリケーションがインストールされているので、対応が必要。 

Ver5.0,Ver5.1の場合:
・Struts連携でのアプリケーションを開発、利用されている場合は、対応が必要。
  
Ver6.0,Ver6.1,Ver7.0,Ver7.1,Ver7.2の場合:
・Struts連携、Seasar2連携でのアプリケーションを開発、利用されている場合は、対応が必要。
・インストール時にサンプルを導入した場合は、Struts,S2Strutsでのサンプルアプリケーションが、インストールされているため対応が必要。 

これ以外の場合は、Strutsは利用されていませんので、対応は不要ですが、Struts利用の有無などの状況がわからないなどの場合は、本パッチはStrutsアクセス時のみ有効なServletFilterですので、既存のシステムに影響をあたえることなく対応することが可能ですので、適用されることを推奨致します。
なお、いずれのバージョンにおきましても、適用されているパッチを問わず適用可能です。 
  
※Struts利用アプリケーションの簡易的な判断方法 
.doで終わるURLでの画面アクセスが存在する場合は、Strutsを利用したアプリケーションを利用されているので対応が必要です。 
  
※製品標準でStrutsの各種ライブラリは含まれていますが、サンプルがインストールされていない限り、製品標準ではStrutsは使用しておりません。 
  
※上記記載のIM-SecureSignOn以外の弊社アプリケーション製品のイントラネット・スタートパック、営業支援システム、販売管理システムなどはStrutsを利用しておりません。

Resinに対する変更可能な設定値
今回の脆弱性を利用し、一部Resinに対する設定値の変更が外部から行われる可能性があります。
書き換え可能な内容は、Resin内部におけるファイルの変更監視間隔、変更監視の有効無効が主な内容となります。
docBase(Tomcatの場合)を書き換える等を用いたサーバ側のファイルの内容が漏洩する等の問題は確認しておりません。


各製品バージョンに対するStrutsのバージョンは下記の組み合わせとなります。
各製品バージョンに対するStrutsのバージョン.PNG

2014/4/28 追記2

Q:
サンプルをインストールしているだけ、つまりサンプルを実行するか実行しないかは関係なく問題が起こる可能性があるということでしょうか?
それともサンプルを実行するメニューが表示されいて、かつサンプルを実行する事が可能であるユーザログインがある場合に問題があるのでしょうか?
A:
Strutsのサンプルはインストールしているだけでアクセス可能な状態になっていますので、インストール時にサンプルを導入している環境では、パッチの適用をお願い致します。 

2014/4/30 追記
Q:
サンプルが導入済みかどうかの判断方法を教えて下さい。
A:
Application Runtimeのdoc/imart/WEB-INF/classes/sampleのディレクトリ以下が存在する場合はsmapleがインストールされています。

-- 対象 ------------------------------------------------------------------------
iAP
--------------------------------------------------------------------------------


FAQID:388
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk