ページの先頭です。
ここから本文です。

よくあるご質問(サポートFAQ)

【WISE Audit】Apache Struts 1の脆弱性(CVE-2014-0094)対策について

質問内容

Apache Struts 1の脆弱性(CVE-2014-0094)について、WISE Audit製品の影響範囲と対応策を教えてください。

回答内容

■本脆弱性の影響範囲と対応策について

影響範囲と対応策は、次のとおりです。

  • 対象製品・バージョン

    •  WISE Audit 全バージョン


  • Apache Strutsの対応状況

    •  WISE Audit全バージョンにてApache Struts V1.2が使用されております。
     本脆弱性の対象となりますので必ず対策を行ってください。


  • 対応策

    •  本脆弱性に対応するため、現在サポートされているバージョンにおいては
     WISE Auditのパッチが株式会社エアー様のホームページにて公開されております。
     サイト上よりダウンロードし、パッチの適用を実施して下さい。
     

    【公開されたパッチの情報】

     WISE Audit V5.3用パッチ    (WA530_B024_N_H_M_linux_02.tgz)※1
     WISE Audit V6.0用パッチ    (WA60_B004_N_N_M_linux_01.tgz)
     WISE Audit MTE V1.2用パッチ (WAMTE120_B018_N_N_M_linux_01.tgz)
     WISE Audit MTE V2.0用パッチ (WAMTE200_B017_N_N_M_linux.tgz)
     WISE Audit MTE V2.1用パッチ (WAMTE210_B006_N_N_M_linux_01.tgz)

     備考:
     ・WISE Auditカスタマイズ版の対応については個別にご案内いたします。

     ・サポート外のバージョンについては提供しておりません。
      サポートバージョンへアップグレードしてパッチの適用を実施して下さい。

    ※1 2014/05/22 追記

     先日、株式会社エアー様のホームページに公開された
     WISE Audit 5.3用 Apache Struts1脆弱性対応パッチ
     (WA530_B024_N_H_M_linux_01.tgz) につきまして、PSO専用サーバへ適用した
     場合の不具合が発見されました。

     下記「■対処方法」を参考のうえ、
     既に適用されている場合は改めてサイト上よりダウンロードして、
     WISE Audit 5.3用パッチ (WA530_B024_N_H_M_linux_02.tgz)の
     適用をよろしくお願いします。

     ■対処方法

     (1) WA530_B024_N_H_M_linux_01を既に適用した場合:

       WA530_B024_N_H_M_linux_02を適用して下さい。
       (WA530_B024_N_H_M_linux_01の取り消しを実施する必要は
       ありません。)

     (2) WA530_B024_N_H_M_linux_01を未だ適用していない場合:

       WA530_B024_N_H_M_linux_02を適用して下さい。
       (WA530_B024_N_H_M_linux_01の適用は必要ありません。)

    <修正内容>

     不具合修正内容は以下の通りです。

     1) Apache Struts 1の脆弱性(CVE-2014-0114)に対応(管理番号2931)

      Apache Struts バージョン1 には、
      ClassLoader を操作される脆弱性(CVE-2014-0114)が存在します。
      本脆弱性が悪用された場合は、ウェブアプリケーションの動作権限内で
      情報の窃取や特定ファイルの操作、およびウェブアプリケーションを
      一時的に使用不可にされてしまいます。
      さらに、攻撃者が操作したファイルに Java コードが含まれている場合、
      任意のコードが実行される可能性があることがわかっています。

      (出典:IPA 情報セキュリティに関する注意喚起)
      https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

      修正概要:
      WISE AuditのWEBアプリケーションに対して不正なパラメータが指定された
      場合、当該リクエストを拒否する機能を追加しました。

    【パッチのダウンロード手順と適用】

    <ダウンロード手順>

    次の手順でパッチをダウンロードして下さい。
      ① 株式会社エアー様のホームページにアクセスします。
       http://www.air.co.jp/

      ② 左側ログインフォーム、サポート契約者様用欄にて、契約番号を入力して下さい。
        もしくは、パートナー様専用ページよりログインして下さい。

      ③ ログイン後、トピックス一覧より
        「WISE Auditサポート または WISE Audit MTEサポート」を選択、
        表示されたページから「修正パッチ/リリースノート」を選択してください。

      ④ 対象製品のバージョンを選択し、
        【公開されたパッチの情報】から該当するパッチ名を選択します。
        表示されたページよりパッチファイル(tgz形式)とリリースノートを
        ダウンロードしてください。

    <パッチの適用手順>

    前提となるパッチについてはリリースノートの「適用環境」を参照して下さい。
    パッチの適用手順はリリースノートの「適用方法」を参照して下さい。
    パッチ適用によるサービス影響についてはリリースノートの「パッチ適用に関する制限事項」を参照して下さい。

     参考情報:
     開発元のテスト環境におけるサーバ1台へのパッチ適用コマンド実行所要時間は
     30秒以内でした。
     サーバのマシンスペック等に依存しますので、あくまでも目安として
     ご参考にして下さい。

     備考:
     WISE Auditの不具合の対応や新機能の追加に伴い、バージョンアップを
     行なっております。
     安定稼動のため、常に最新の状態でご運用いただきますよう、
     よろしくお願い致します。

  • 暫定の対処

    •  パッチがすぐに適用できない環境の場合は、パッチの適用が完了するまで、
     次の何れかの暫定対策の実施をご検討ください。

      a) WISE Auditの「アクセス制限」の設定により、アクセスを許可するIPアドレスを指定する。

      b) Linuxのiptablesの設定により、IPアドレスとポートの組み合わせでアクセスを許可あるいは遮断する。

      c) WAF、IPSなどネットワーク側で当該攻撃を遮断する。

    製品名カテゴリ

    WISE Audit

    対象製品

    品名: WISE Audit
    リビジョン: V3.x、V4.x、V5.x、V6.0、MTE V1.x、MTE V2.x
    対象OS: Linux

    補足/関連情報

    このFAQの対象製品パージョンは以下のとおりです。

      WISE Audit V3.x
      WISE Audit V4.x
      WISE Audit V5.x
      WISE Audit V6.0
      WISE Audit MTE V1.x
      WISE Audit MTE V2.x

    2014/05/22 コンテンツを更新しました。

      WISE Audit 5.3用 Apache Struts1 脆弱性対策パッチ差替えについて

    • コンテンツID: 3150107330
    • 公開日: 2014年05月14日
    • 最終更新日:2014年05月22日

    アンケート

    サポート情報充実のためアンケートにご協力をお願いいたします。

    コメント欄:
    ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。