[2014/04/24] Apache Strutsの脆弱性(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)に関する弊社製品への影響について

Owned by EXGEN-OP
7月 05, 2018
掲載日 
最終更新日 

 

2014年4月17日に、独立行政法人 情報処理推進機構(IPA)より報告された、Apache Struts2 の脆弱性 について、弊社製品に関する調査を行いましたので、ここに報告させていただきます。


Apache Struts2 の弊社製品での利用状況について

弊社製品の今回の脆弱性に関する影響は以下の通りです。

  • LDAP Manager 6.5
    以下のWebアプリケーションにおいて、Apache Struts2を使用していたため、本脆弱性の影響を受けます。
    • 操作ログオプション

  • LDAP Manager 6.0以前
    該当バージョンを使用しておらず、影響はありません。

  • LDAP Manager for Printing
    該当バージョンを使用しておらず、影響はありません。




Apache Struts1 の弊社製品での利用状況について

2014.4.26追記

今回の脆弱性につきまして、当初は Apache Struts2が対象とアナウンスされましたが、その後 4月24日に、類似の脆弱性が Apache Struts1にも存在するとの報告がなされました。 弊社製品における、Apache Struts1 の使用状況は以下の通りです。

  • LDAP Manager 6.5~5.5
    以下のWebアプリケーションで Apache Struts1を使用しており、本脆弱性の影響を受けます。
    • 利用者プロファイルメンテナンス設定
    • 管理者メンテナンス(Servlet)
    • 操作ログオプション

  • LDAP Manager 5.0以前
    該当バージョンを使用しておらず、影響はありません。

  • LDAP Manager for Printing
    該当バージョンを使用しておらず、影響はありません。





Apache commons-beanutils の弊社製品での利用状況について

2014.5.1追記

その後の調査により、今回の脆弱性が Strutsが内部で使用している Apache commons-beanutilsというライブラリの特定の処理に原因があるとの報告もなされております。そのため、Webアプリケーションがその処理を独自に直接呼び出している場合には、Struts使用の有無に関係なく同様の脆弱性を含んでいることになると指摘されています。 弊社製品における、Apache commons-beanutils ライブラリの使用状況は以下の通りです。
※ 記載のない製品は、ライブラリを使用しておりません。

  • LDAP Manager 6.5
    以下のWebアプリケーションにおいて、同ライブラリと脆弱性のある処理を使用していました。
    • 操作ログオプション

   以下のWebアプリケーションでは、ライブラリを使用していますが、脆弱性のある処理は行っておりませんので、影響はありません。

    • 操作ログオプション
    • 利用者プロファイルメンテナンス
    • 利用者プロファイルメンテナンス設定
    • 管理者メンテナンス(Applet)
    • 管理者メンテナンス(Servlet)
    • 管理者ポータル
    • IDワークフロー

  • LDAP Manager 6.0~5.0
    以下のWebアプリケーションでは、ライブラリを使用していますが、脆弱性のある処理は行っておりませんので、影響はありません。
    • 操作ログオプション
    • 利用者プロファイルメンテナンス
    • 利用者プロファイルメンテナンス設定
    • 管理者メンテナンス(Applet)
    • 管理者メンテナンス(Servlet)
    • 管理者ポータル
    • IDワークフロー
  • LDAP Manager 4.5
    以下のWebアプリケーションでは、ライブラリを使用していますが、脆弱性のある処理は行っておりませんので、影響はありません。
    • 利用者プロファイルメンテナンス
    • 利用者プロファイルメンテナンス設定
  • LDAP Manager 4.0以前
    ライブラリを使用しておらず、影響はありません。
  • LDAP Manager for Printing
    ライブラリを使用しておらず、影響はありません。





対応について

脆弱性対策を行った修正モジュールの提供については、以下のように準備しております。

  • 操作ログオプション
    最新のApache Struts2モジュールを適用し、さらにApache commons-beanutilsの問題を含む全ての脆弱性対策を行った改修モジュールを、5月7日よりご提供いたします。 対象バージョンは 6.5 です。

  • 利用者プロファイルメンテナンス設定
    管理者メンテナンス(Servlet)

    2014.5.7追記 
    Apache Struts1脆弱性は、この2つのモジュールのみ影響があることがわかりました。対策を行った改修モジュールは、5月9日よりご提供を開始いたします。対象バージョンは 6.5~5.5 です。

    2014.6.5追記 
    Ver.6の管理者メンテナンスに、本件とは異なる不具合 が見つかりました。6.0を適用されるお客様はご注意ください。


上記以外のWebアプリケーションは、調査の結果、今回の脆弱性に該当ぜず対応は不要です。修正モジュールへの差し替えに際しましては、お客様にお手数をおかけすることとなり、誠に申し訳ありません。何卒よろしくお願い申し上げます。