60 likes | 286 Views
Struts1.x の脆弱性( CVE-2014-0014 ) の詳細と原因. 日本電気株式会社 2014 年 6 月 17 日. StrutsV1.x 脆弱性( CVE-2014-0114 )とは. CVE-2014-0114 は、 CVE-2014-094 の Struts2.x ParametersInterceptor 類似バグとして、 4/24( 木 ) に報告があった脆弱性である。リクエストパラメータによって ClassLoader の属性値を任意に設定可能 と なる脆弱性で す 。. StrutsV1.x. ブラウザ. リクエスト.
E N D
Struts1.xの脆弱性(CVE-2014-0014)の詳細と原因 日本電気株式会社 2014年6月17日
StrutsV1.x脆弱性(CVE-2014-0114)とは • CVE-2014-0114は、CVE-2014-094のStruts2.xParametersInterceptor類似バグとして、4/24(木)に報告があった脆弱性である。リクエストパラメータによってClassLoaderの属性値を任意に設定可能となる脆弱性です。 StrutsV1.x ブラウザ リクエスト abc=123class.ClassLoader.xxx=yyy リクエスト abc=123class.ClassLoader.xxx=yyy リクエストからFormクラスにデータセットのためにBeanUtils#populate()メソッドを実行。設定するメソッドを自動判断。 通常のリクエスト「abc=123」 以外に 「class.ClassLoader.xxx=yyy」 を付加して送信 BeanUtilsでの処理 setAbc(“123”) getClass().getClassLoader().setXxx(“yyy”) ClassLoader 操作 Formクラス Public void setAbc(String abc){ this.abc = abc; }
攻撃対象となりうるリクエストの検出 • CVE-2014-0114で影響のあるパラメータ属性有無を検証するための正規表現は以下のとおりとなります。
本脆弱性の影響を受ける環境 • StrutsとAPサーバーとの組み合わせにて、本脆弱性の影響内容が異なります。 • WebOTX製品、バージョンごとに影響の内容が異なります。詳細は下記サイトをご確認ください。参考:NECサポートポータル https://www.support.nec.co.jp/View.aspx?id=3010100868 • Oracle WebLogic Server本脆弱性に対する影響がある旨が報告されています。詳細はNEORC上で随時公開されますので、そちらをご確認ください。参考:NEORChttp://opendb.middle.nec.co.jp/oracle/「Oracle Fusion Middleware 製品に対する Apache Struts 脆弱性の影響について」 • JBoss EAPバージョンごとに影響の内容が異なります。詳細は下記サイトをご確認ください。参考:RedHat社ホームページ https://access.redhat.com/site/ja/solutions/873033 • Tomcatバージョン8.x にて発生することが確認されています。ほかのバージョンでも影響がある可能性があります。