■本脆弱性の影響範囲と対応策について
影響範囲と対応策は、次のとおりです。
対象製品・バージョン
WISE Audit 全バージョン
Apache Strutsの対応状況
WISE Audit全バージョンにてApache Struts V1.2が使用されております。
本脆弱性の対象となりますので必ず対策を行ってください。
対応策
本脆弱性に対応するため、現在サポートされているバージョンにおいては
WISE Auditのパッチが株式会社エアー様のホームページにて公開されております。
サイト上よりダウンロードし、パッチの適用を実施して下さい。
【公開されたパッチの情報】
WISE Audit V5.3用パッチ (WA530_B024_N_H_M_linux_02.tgz)
※1
WISE Audit V6.0用パッチ (WA60_B004_N_N_M_linux_01.tgz)
WISE Audit MTE V1.2用パッチ (WAMTE120_B018_N_N_M_linux_01.tgz)
WISE Audit MTE V2.0用パッチ (WAMTE200_B017_N_N_M_linux.tgz)
WISE Audit MTE V2.1用パッチ (WAMTE210_B006_N_N_M_linux_01.tgz)
備考:
・WISE Auditカスタマイズ版の対応については個別にご案内いたします。
・サポート外のバージョンについては提供しておりません。
サポートバージョンへアップグレードしてパッチの適用を実施して下さい。
※1 2014/05/22 追記
先日、株式会社エアー様のホームページに公開された
WISE Audit 5.3用 Apache Struts1脆弱性対応パッチ
(WA530_B024_N_H_M_linux_01.tgz) につきまして、PSO専用サーバへ適用した
場合の不具合が発見されました。
下記「■対処方法」を参考のうえ、
既に適用されている場合は改めてサイト上よりダウンロードして、
WISE Audit 5.3用パッチ (WA530_B024_N_H_M_linux_02.tgz)の
適用をよろしくお願いします。
■対処方法
(1) WA530_B024_N_H_M_linux_01を既に適用した場合:
WA530_B024_N_H_M_linux_02を適用して下さい。
(WA530_B024_N_H_M_linux_01の取り消しを実施する必要は
ありません。)
(2) WA530_B024_N_H_M_linux_01を未だ適用していない場合:
WA530_B024_N_H_M_linux_02を適用して下さい。
(WA530_B024_N_H_M_linux_01の適用は必要ありません。)
<修正内容>
不具合修正内容は以下の通りです。
1) Apache Struts 1の脆弱性(CVE-2014-0114)に対応(管理番号2931)
Apache Struts バージョン1 には、
ClassLoader を操作される脆弱性(CVE-2014-0114)が存在します。
本脆弱性が悪用された場合は、ウェブアプリケーションの動作権限内で
情報の窃取や特定ファイルの操作、およびウェブアプリケーションを
一時的に使用不可にされてしまいます。
さらに、攻撃者が操作したファイルに Java コードが含まれている場合、
任意のコードが実行される可能性があることがわかっています。
(出典:IPA 情報セキュリティに関する注意喚起)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
修正概要:
WISE AuditのWEBアプリケーションに対して不正なパラメータが指定された
場合、当該リクエストを拒否する機能を追加しました。
【パッチのダウンロード手順と適用】
<ダウンロード手順>
次の手順でパッチをダウンロードして下さい。
① 株式会社エアー様のホームページにアクセスします。
http://www.air.co.jp/
② 左側ログインフォーム、サポート契約者様用欄にて、契約番号を入力して下さい。
もしくは、パートナー様専用ページよりログインして下さい。
③ ログイン後、トピックス一覧より
「WISE Auditサポート または WISE Audit MTEサポート」を選択、
表示されたページから「修正パッチ/リリースノート」を選択してください。
④ 対象製品のバージョンを選択し、
【公開されたパッチの情報】から該当するパッチ名を選択します。
表示されたページよりパッチファイル(tgz形式)とリリースノートを
ダウンロードしてください。
<パッチの適用手順>
前提となるパッチについてはリリースノートの「適用環境」を参照して下さい。
パッチの適用手順はリリースノートの「適用方法」を参照して下さい。
パッチ適用によるサービス影響についてはリリースノートの「パッチ適用に関する制限事項」を参照して下さい。
参考情報:
開発元のテスト環境におけるサーバ1台へのパッチ適用コマンド実行所要時間は
30秒以内でした。
サーバのマシンスペック等に依存しますので、あくまでも目安として
ご参考にして下さい。
備考:
WISE Auditの不具合の対応や新機能の追加に伴い、バージョンアップを
行なっております。
安定稼動のため、常に最新の状態でご運用いただきますよう、
よろしくお願い致します。
暫定の対処
パッチがすぐに適用できない環境の場合は、パッチの適用が完了するまで、
次の何れかの暫定対策の実施をご検討ください。
a) WISE Auditの「アクセス制限」の設定により、アクセスを許可するIPアドレスを指定する。
b) Linuxのiptablesの設定により、IPアドレスとポートの組み合わせでアクセスを許可あるいは遮断する。
c) WAF、IPSなどネットワーク側で当該攻撃を遮断する。