ヘッダをスキップ   製品サポート情報      製品使用上の重要なお知らせ
 
ページタイトル

製品使用上の注意事項

製品使用上の重要な注意事項をお知らせします。
 
【HWS14-005】


2015/03/11 更新

Apache Struts1/Struts2の脆弱性(CVE-2014-0094、CVE-2014-0112、CVE-2014-0114、他)による影響について

1.概要

Apache Struts2(2.0.0 から 2.3.16) の、ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094) があり、対策版(Apache Struts 2.3.16.1)がリリースされていました。この脆弱性について、IPA で再現検証を実施した結果、Webアプリケーションの動作権限内で情報の窃取や特定ファイルの操作ができること、Webアプリケーションを一時的に使用不可にできること、攻撃者が操作したファイルに Java コードが含まれている場合には、任意のコードが実行される可能性があることが報告されました。
その後、Struts 2.3.16.1における脆弱性(CVE-2014-0094)対策の修正が不十分であること(CVE-2014-0112)、Struts 1.x(2013年上半期サポート終了)にもCVE-2014-0094と同じ脆弱性が存在すること(CVE-2014-0114)などが確認されています。詳細は、参考情報を参照ください。

参考情報:
HIRT-PUB14006:日立製品における Apache Struts:ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094) への対応について
http://www.hitachi.co.jp/hirt/publications/hirt-pub14006/index.html

Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

2.影響を受けるバージョン

Apache Struts 1.x
Apache Struts 2.0.0 から 2.3.16.2


3.対象製品

当該脆弱性により、影響を受ける弊社ソフトウェア製品・ストレージ製品は次のとおりであり、掲載していない製品および弊社サーバ製品に影響はありません。

表1.対象製品一覧(ソフトウェア製品)※1
項番 製品名 影響※2 備考
1 JP1/Performance Management - Web Console 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/08/05:詳細情報追加
2 JP1/Performance Management - Manager Web Option 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/08/05:詳細情報追加
3 JP1/Integrated Management - Universal CMDB Advanced Edition サポートにお問い合わせください 2014/04/25:一覧追加
2015/03/11:影響の見直し
4 JP1/VERITAS NetBackup 7.0.x〜7.5.0.x
(OpsCenter使用時だけ)
影響あり(Struts1を使用) 2014/04/25:一覧追加
5 JP1/VERITAS NetBackup 7.6.0.1〜7.6.0.2
(OpsCenter使用時だけ)
影響あり(Struts2を使用) 2014/04/25:一覧追加
2014/07/18:製品名のバージョン見直し
6 Hitachi Device Manager Software 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/07/23:詳細情報追加
7 Hitachi Tiered Storage Manager Software 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/07/23:詳細情報追加
8 Hitachi Tuning Manager Software 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/07/23:詳細情報追加
9 Hitachi Global Link Manager Software 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/07/23:詳細情報追加
10 Hitachi Replication Manager Software 影響あり(Struts1を使用) 2014/04/25:一覧追加
2014/07/23:詳細情報追加
11 Cosminexus製品 影響なし
ただし、Strutsに対応した開発環境機能を提供していますので、Strutsを使用されている場合は業務アプリケーションで脆弱性の判定をしてください。
2014/04/25:一覧追加
12 HiRDB Control Manager - Server 影響あり(Struts2を使用) 2014/04/25:一覧追加
13 秘文AE ContentsGate Base 10-00以降 影響あり(Struts2を使用) 2014/05/12:一覧追加
14 CA Access Control 影響あり(Struts1を使用) 2014/05/12:一覧追加
2014/07/18:製品名見直し
15 Red Hat Enterprise Linux 5 影響あり(Struts1を使用) 2014/05/12:一覧追加

対策版リリース済み
16 AIX
日立から販売しているIBM社ミドルウェア
サポートにお問い合わせください 2014/05/13:一覧追加
2015/03/11:影響の見直し
17 HP-UX OS
日立から販売しているHP社ミドルウェア

一部製品で影響あり(Struts1を使用) 2014/05/13:一覧追加
2014/06/02:詳細情報追加
18 VMware 影響あり(Struts2を使用) 2014/05/13:一覧追加
2014/07/01:詳細情報追加
19 Oracle Directory Server製品、Web Server製品(旧名称:Sun Java System) サポートにお問い合わせください 2014/05/13:一覧追加
2015/03/11:影響の見直し
20 日立で取り扱っているOracle製品 サポートにお問い合わせください 2014/05/13:一覧追加
2015/03/11:影響の見直し

※1:上記以外のソフトウェア製品に影響はありません。
※2:実際に脆弱性の影響を受けるかどうかは、対象製品が不特定のサイトから使用できるかどうかに依存します。信頼のおけるサイト以外からは使用できないように運用にて接続制限することを推奨します。


表2.対象製品一覧(ストレージ製品)※3
項番 製品名 影響※4 備考
1 Hitachi Virtual Storage Platform
Hitachi Virtual Storage Platform VP9500
影響あり(SVPでStruts1を使用) 2014/05/12:一覧追加
2014/08/05:対象製品追加、詳細情報追加
2 Hitachi Unified Storage VM 影響あり(SVPでStruts1を使用) 2014/05/12:一覧追加
2014/08/05:詳細情報追加
3 Hitachi Adaptable Modular Storage2000 影響あり(Storage Navigator Modular2でStruts1を使用) 2014/05/12:一覧追加
4 Hitachi Unified Storage 100 影響あり(Storage Navigator Modular2でStruts1を使用) 2014/05/12:一覧追加
5 Hitachi Virtual File Platform
(Hitachi File Services Manager含む)
影響あり(Struts1を使用) 2014/05/12:一覧追加
2014/12/10:更新

※3:上記以外のストレージ製品に影響はありません。
※4:実際に脆弱性の影響を受けるかどうかは、対象製品が不特定のサイトから使用できるかどうかに依存します。信頼のおけるサイト以外からは使用できないように運用にて接続制限することを推奨します。


4.問い合わせ先

お問い合わせは、各製品のサポート契約をご確認の上、日立ソリューションサポートセンタのサポート窓口にお問い合わせください。

更新履歴:

  • 当ホームページに記載されている製品には、他社開発製品が含まれています。これらの情報については他社から提供、または公開された情報を基にしています。弊社では、情報の正確性および完全性について注意を払っていますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
本ページに関する問い合わせ(サポート契約のないお客様はこちらからお問い合わせください。)