CVE-2014-0094、CVE-2014-0112、CVE-2014-0113 は、Red Hat アプリケーションサーバー製品で実行している Struts 2 アプリケーションに影響しますか?
Environment
- Red Hat JBoss Enterprise Application Platform (EAP)
- 4.x
- 5.x
- 6.x
- Red Hat JBoss Web Server (JWS)
- 1.x
- 2.x
- Red Hat Enterprise Linux (RHEL)
- RHEL 5 で実行している Tomcat 5.5
- RHEL 6 で実行している Tomcat 6.0
Issue
CVE-2014-0094、CVE-2014-0112、および CVE-2014-0113 は、Red Hat JBoss 製品で実行している Struts 2 アプリケーションに影響しますか?
Resolution
Struts 2 は、サポート対象の Red Hat 製品には同梱されていません。Red Hat JBoss 製品にデプロイしているサードパーティの Struts 2 ライブラリを使用しているアプリケーションは、影響を受ける可能性があります。詳細については、以下を参照してください。
これらの不具合によって、攻撃者がサーバーの ClassLoader プロパティを操作できるようになります。この不具合の影響は、どの ClassLoader プロパティが公開しているかによって異なります。リモートコードを実行する CVE-2014-0094 の exploit が公開されました。これらの exploit は、Tomcat 8 で公開している ClassLoader プロパティを使用します。このプロパティは、サポート対象の Red Hat 製品には含まれていません。ただし、一部の Red Hat 製品では ClassLoader プロパティを公開しており、これを利用することができます。
以下の製品では ClassLoader プロパティがさらされるため、攻撃者がそのプロパティを利用してサーバーのファイルを読み込んだり実行したりすることができます。これらは脆弱性のある Struts 2 アプリケーションのコンテキストパスの外にあります。
- JBoss EAP 4.3 CP10
- JWS 1.0.2 - Tomcat 5.5 および Tomcat 6.0
- JWS 2.0.1 - Tomcat 6.0 および Tomcat 7.0
- RHEL 5 - Tomcat 5.5
- RHEL 6 - Tomcat 6.0
注意: この不具合がサーバーにアクセスできる CIFS 共有のコンテンツを制御することができる状況下では、Windows を実行すると攻撃者が上述の製品上でこの不具合を使用し、リモートでコードを実行することができます。
以下の製品は、現在報告されている攻撃を受けやすい ClassLoader プロパティを公開しておりません。
- JBoss EAP 6.2.2
- JBoss EAP 5.2.0
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.