Apache Struts的漏洞CVE-2014-0094、CVE-2014-0112、CVE-2014-0113 对intra-mart产品有影响吗?

 
Avatar
FAQ Manager
最近更新时间:
首次发行日期:
以下是已发布的Apache Struts中的漏洞。
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html(日语)

已确认在intra-mart BaseModule/WebPlatform的应用程序服务器的Resin中,不能进行使用此漏洞执行任意的指令或泄漏内部的文件等的操作。

但是,有可能可以对Resin的一部分设置(dependencyCheckInterval等)进行更改,因此我们提供解决漏洞的补丁。 
请在以下补丁下载网站中进行下载,并参阅README.txt后使用补丁。
解决Apache Struts漏洞的补丁
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1194(日语)
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1292(日语)

※适用产品
intra-mart BaseModule Ver4.1/Ver4.2/Ver4.3/Ver5.0/Ver5.1
intra-mart WebPlatform/AppFramework Ver6.0/Ver6.1/Ver7.0/Ver7.1/Ver7.2


※对本公司产品所包含的其它移动框架的影响
脚本开发模式、JavaEE开发模式没有此漏洞。

※2014/4/30补记
此外,由于2014/4/25发布的补丁不能完全解决使用了multipart/form-data的攻击,因此发布了包含修改Struts本身的补丁。

另外,有关intra-mart Accel Platform,在使用SAStruts时有用到Struts1,但SAStruts不受此漏洞的影响。
(参考:http://d.hatena.ne.jp/higayasuo/20140425/1398403491(日语) )

在扩展模块的IM-SecureSignOn中也使用了Struts1,但已确认不受此漏洞的影响,因此不需要处理。

2014/4/28补记
Ver4.1、Ver4.2、Ver4.3的情况下:
・开发或使用有用到Struts的应用程序时,需要处理。
・安装时导入了样本的情况下,由于已安装使用了Struts的样本应用程序,需要处理。

Ver5.0、Ver5.1的情况下:
・开发或使用与Struts对接的应用程序时,需要处理。

Ver6.0、Ver6.1、Ver7.0、Ver7.1、Ver7.2的情况下:
・开发或使用与Struts、Seasar2对接的应用程序时,需要处理。
・安装时导入了样本的情况下,由于已安装Struts、S2Struts的样本应用程序,需要处理。

除了上述情况之外,没有使用Struts,因此不需要处理。但不知道有无使用Struts等的情况下,由于本补丁是仅访问Struts时有效的ServletFilter,可以对现有的系统没有影响并进行处理,因此推荐使用本补丁。
此外,在任意版本中,无论适用了何种补丁都可以使用本补丁。

※简单判断使用Struts的应用程序的方法
存在以do结尾的URL来访问页面的情况下,由于使用了有用到Struts的应用程序,需要处理。

※虽然在标准产品中包含了Struts的各种库,但只要没有安装样本,则在标准产品中没有使用Struts。

※上述记载的IM-SecureSignOn以外,本公司产品的Intranet StartPack、营业支持系统、销售管理系统等没有使用Struts。

Resin可以更改的设置值
有可能使用此次漏洞从外部对一部分Resin的设置值进行更改。
可以改写的内容为Resin内部的文件更改监视间隔,主要内容是更改监视的有效无效。
我们尚未确认已使用改写docBase(Tomcat的情况下)等服务器文件的内容泄漏等的问题。

以下的组合是与每个产品版本相应的Struts版本。
与每个产品版本相应的Struts版本.PNG

2014/4/28 补记2

Q:
只要安装了样本,即不管是否执行样本都有引起问题的可能吗?
或是在显示执行样本的菜单,且有可以执行样本的用户登录时有问题?
A:
由于只要安装了Struts的样本,就将成为可以访问的状态,请在安装时导入了样本的环境中使用补丁。

2014/4/30 补记
Q:
请告知判断样本导入是否完成的方法。
A:
存在Application Runtime的doc/imart/WEB-INF/classes/sample目录下级的情况下,smaple已安装。

-- 适用对象 ----------------------------------------------------------
iAP/Accel Platform/所有更新版本
iWP/Web系统信息基础/WebPlatform/AppFramework
--------------------------------------------------------------------------


FAQID:388
这篇文章有帮助吗?
0 人中有 0 人觉得有帮助
由 Zendesk 提供技术支持