IPAよりApache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)の注意喚起が発表されました。
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
ESMPRO/ServerManager,ServerAgent(および関連製品)への影響は以下の通りです。
<重要>
以下のWebページでESMPRO/ServerManagerセキュリティパッチの提供を開始しました。(2014/7/7)
https://www.support.nec.co.jp/View.aspx?id=9010103351
●ESMPRO/ServerManager
①Struts使用状況
・Ver5.3以降:Struts 1.3.10
・Ver5.3未満:Struts 1.3.8
・Ver4.x :未使用
②Struts脆弱性の影響
ESMPRO/ServerManager Ver5.0以降の全てのバージョンで影響を受けます。
③影響の内容
ESMPRO/SMでは以下の影響(被害)を受ける可能性が考えられます。
・ESMPRO/SMが保持する管理対象サーバに関する情報の搾取
・不正な操作(ESMPRO/SM、または管理対象サーバに対するリモート操作など)
④回避策
下記のセキュリティパッチの適用をご検討ください。
セキュリティパッチの適用が行えない場合、装置へのアクセス制限による回避、ネットワーク
機器での不正なアクセスの遮断など運用面での対処をお願いします。
⑤対処について
脆弱性が解消されたApache Strutsへの対応を予定しています。
対応時期は現在調整中です。
[2014/7/7]
以下のページで既存環境向けのセキュリティパッチを公開しました。
https://www.support.nec.co.jp/View.aspx?id=9010103351
<補足>
CVE-2014-0114についても同様に該当します。
●ESMPRO/ServerAgent(および関連製品)
以下の製品はApache Strutsを利用していないため影響を受けません。
・ESMPRO/ServerAgent
・ESMPRO/ServerAgent Extension
・ExpressUpdate Agent
・Universal RAID Utility
・BMC Configurationツール
<参考>
CVE-2014-0094
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094
CVE-2014-0114
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0114