CVE-2014-0114 は Red Hat 製品に含まれる Struts 1 に影響がありますか

Solution In Progress - Updated -

Environment

  • Red Hat Enterprise Linux (RHEL)
    • 5.x
  • Red Hat Network Satellite
    • 5.6
    • 5.5
    • 5.4
  • Red Hat JBoss Fuse
    • 6.x
  • Fuse ESB Enterprise
    • 7.x
  • Red Hat JBoss Operations Network (JON)
    • 3.x

Issue

CVE-2014-0114 は、Red Hat 製品に含まれる Struts 1 に影響がありますか?

Resolution

注意: このソリューションは頻繁に更新される可能性があります。最新情報については、英語版を参照してください。

初期トリアージでは、Struts 1 のすべてのリリースがこの問題の影響を受ける可能性があることが分かりました。つまり Struts 1 を同梱しているすべての Red Hat 製品にセキュリティ脆弱性の可能性があります。Struts 1 はすでにアップストリームでサポートされておらず、アップストリームではパッチ作成の責務はありません。

この文書の環境のセクションにリストされている製品が Struts を同梱しており、Red Hat は以下のパッチをリリースしました。

この脆弱性を利用することで攻撃者はアプリケーションサーバー上でクラスローダー・プロパティを操作することが可能になります。どのような影響があるかはどのようなクラスローダー・プロパティにアクセスが可能かによって変わってきます。リモートコード実行を引き起こすような攻撃方法も公開されていますが、公開されている攻撃方法は Tomcat 8 でアクセス可能なクラスローダー・プロパティを利用したもので、Tomcat 8 は Red Hat がサポートする製品には含まれていません。しかし、一部の Red Hat 製品では潜在的に攻撃を可能にするようなクラスローダー・プロパティにアクセス可能なものもあります。

以下の製品では、脆弱性のある Struts 1 アプリケーションのコンテキスト・パスの外部にあるファイルへの読み書きが可能になるようなクラスローダー・プロパティが攻撃者からアクセス可能になっています。

  • Red Hat Network Satellite 5.x on RHEL 6 (Tomcat 6)
  • Fuse ESB Enterprise 7.1.0
  • Red Hat JBoss Fuse 6.0

以下の製品では、攻撃者がクラスローダー・プロパティにアクセス可能となっています。しかし、現時点で詳細は分かっておりませんが、弊社で検証する限りでは攻撃に利用することはできないようです。

  • RHEL 5 - Tomcat 5.5
  • Red Hat Network Satellite 5.x on RHEL 5 (Tomcat 5.5)

以下の製品では、脆弱性や攻撃につながるようなクラスローダー・プロパティはアクセス可能にはなっていません。

  • JON 3.2.0

Root Cause

CVE-2014-0094CVE-2014-0112 で定義されている Struts 2 の脆弱性は、リモートの攻撃者が脆弱性のあるサーバーのクラスローダーを操作できることです。その結果、リモートから任意のコードを実行できる可能性があります。複数のセキュリティ調査機関が Struts 1 にも同様の問題があることを特定しました。それらの報告では、CVE-2014-0094 を元に Struts 1 の脆弱性を特定しています。Apache セキュリティチームは Struts 1 がこの問題の影響を受けることをアナウンスしました。そして、Struts 1 の脆弱性について CVE-2014-0114 を作成しました。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.