【WebOTX】Apache Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113)への影響と対策について
概要
IPAよりApache Struts の脆弱性対策についての注意喚起が発表されました。
本脆弱性が悪用された場合、情報の搾取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。
WebOTX製品(および関連製品)においても、本脆弱性を内包したStrutsを使用しているため、該当製品をご利用のお客様は、早急に下記に記載する対処方法を実施してください
影響のある製品
- WebOTX Web Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Standard-J Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Standard Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Enterprise Edition V5.1~V5.2/V6.1~V6.5
- WebOTX Application Server V7.1
- WebOTX Developer V8.2~V8.4/V9.1~V9.2(with Developer's Studio のみ)
- WebOTX Portal V8.3~V8.4/V9.1
- WebOTX RFID Manager Enterprise V7.1
- RFID Manager Standard V2.0
- RFID Manager Lite V2.0
対処方法
WebOTX V5
- WebOTX Web Edition V5.1~V5.2
- WebOTX Standard-J Edition V5.1~V5.2
- WebOTX Standard Edition V5.1~V5.2
- WebOTX Enterprise Edition V5.1~V5.2
Struts 1.0.2を含んだサンプルを提供しています(サンプル名:examples)。
以下にサンプルファイルがありますので、WebOTX停止後に削除してください。
<WebOTXインストールフォルダ>\WebCont\webapps\examples
WebOTX V6~V7
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.1~V6.5
- WebOTX Enterprise Edition V6.1~V6.5
- WebOTX Application Server V7.1
Web版運用管理コンソールで、Struts 1.1もしくは、Struts 1.2を利用しています。
次のページで公開しているサーブレットフィルタを適用することで、Web版運用管理コンソールの持つ脆弱性への攻撃を拒否するようにしてください。
Web版運用管理コンソールを利用していない場合は、上記のサーブレットフィルタの適用以外に、Web版運用管理コンソールのポート番号(既定値では4848)に対し、外部からアクセスできないようにする対処(ファイアウォールの設定、もしくはWeb版運用管理コンソールの外部アクセスの無効化(※))を行うことでも対処可能です。
(※)Web版運用管理コンソールの外部アクセスの無効化は、Web版運用管理コンソールの受付アドレスをループバックアドレスに変更することで行えます。
以下にコマンドイメージを記します。
otxadmin > set server.http-service.http-listener.admin-listener.address=127.0.0.1
WebOTX Developer
- WebOTX Developer V8.2~V8.4/V9.1~V9.2(with Developer's Studio のみ)
Struts 1.1を含んだサンプルを提供しています(サンプル名:struts-sample)。
本サンプルをサーバに配備しないようにしてください。
すでに配備済みの場合には、配備解除してください。
今後、上記のサンプルを脆弱性が解消されたApache Struts 2.3.16.3を 利用したものに置換することを予定しています。
対応時期は現在調整中です。
WebOTX Portal
- WebOTX Portal V8.3~V8.4/V9.1
認証連携ポートレットでStruts 1.3.8を利用しています。攻撃と判断できる文字列を含んだリクエストをエラー処理するためのフィルタを追加します。
フィルタの追加方法については、こちらを参照してください。
今後、Apache Strutsを利用しないように修正を予定しています。
対応時期は現在調整中です。
WebOTX RFID Manager
- WebOTX RFID Manager Enterprise V7.1
- RFID Manager Standard V2.0
- RFID Manager Lite V2.0
RFIDデバイス設定管理用コンソール(WebUI)でStruts 1.2.4を利用しています。
アクセス元のIPアドレスを最小限に制限することで被害最小化に向けた対策を行ってください。
デフォルトではファイアウォールの例外設定を変更しないため、ファイアウォールが有効な場合、既定ではローカルホストからのみアクセス可能な設定となっています。
ファイアウォールの例外設定を行っている場合は、管理用コンソール(WebUI)のポート番号(既定値では28080)についてのファイアウォール設定が最小限のアクセス許可であることを確認し、必要に応じて設定を変更してください。
ファイアウォール設定の確認・変更方法は各OSの説明書を参照してください。
今後、脆弱性が解消されたApache Struts 2.3.16.3への対応を予定しています。
対応時期は現在調整中です。
その他注意事項
ご利用のWebアプリケーションに脆弱性のあるStrutsが含まれている場合には、WebOTXアプリケーションサーバのバージョンに関係なく、該当のWebアプリケーションについて別途対策をする必要があります。
製品名カテゴリ
WebOTX
WebOTX Application Server
関連情報
-
コンテンツID:
3010100868
-
公開日:
2014年05月20日
-
最終更新日:2014年05月26日