Struts1.x の脆弱性（ CVE-2014-0014 ）の詳細と原因

Struts1.xの脆弱性（CVE-2014-0014）の詳細と原因 日本電気株式会社 2014年6月17日

StrutsV1.x脆弱性（CVE-2014-0114）とは • CVE-2014-0114は、CVE-2014-094のStruts2.xParametersInterceptor類似バグとして、4/24(木)に報告があった脆弱性である。リクエストパラメータによってClassLoaderの属性値を任意に設定可能となる脆弱性です。 StrutsV1.x ブラウザリクエスト abc=123class.ClassLoader.xxx=yyy リクエスト abc=123class.ClassLoader.xxx=yyy リクエストからFormクラスにデータセットのためにBeanUtils#populate()メソッドを実行。設定するメソッドを自動判断。通常のリクエスト「abc=123」以外に「class.ClassLoader.xxx=yyy」を付加して送信 BeanUtilsでの処理 setAbc(“123”) getClass().getClassLoader().setXxx(“yyy”) ClassLoader 操作 Formクラス Public void setAbc(String abc){ this.abc = abc; }

攻撃対象となりうるリクエストの検出 • CVE-2014-0114で影響のあるパラメータ属性有無を検証するための正規表現は以下のとおりとなります。

本脆弱性の影響を受ける環境 • StrutsとAPサーバーとの組み合わせにて、本脆弱性の影響内容が異なります。 • WebOTX製品、バージョンごとに影響の内容が異なります。詳細は下記サイトをご確認ください。参考：NECサポートポータル https://www.support.nec.co.jp/View.aspx?id=3010100868 • Oracle WebLogic Server本脆弱性に対する影響がある旨が報告されています。詳細はNEORC上で随時公開されますので、そちらをご確認ください。参考：NEORChttp://opendb.middle.nec.co.jp/oracle/「Oracle Fusion Middleware 製品に対する Apache Struts 脆弱性の影響について」 • JBoss EAPバージョンごとに影響の内容が異なります。詳細は下記サイトをご確認ください。参考：RedHat社ホームページ　https://access.redhat.com/site/ja/solutions/873033 • Tomcatバージョン8.x にて発生することが確認されています。ほかのバージョンでも影響がある可能性があります。

Struts1.x の脆弱性（ CVE-2014-0014 ）の詳細と原因