<2017/3/13 追記>
Apache Struts 1の脆弱性を指す識別子として、(CVE-2014-0114)を追記しました。
<2014/6/25追記>の通り、アップデートパック10にて対応済みです。
<2014/6/25 追記>
Apache Strutsの脆弱性に対応したアップデートパック10をリリースいたしました。
アップデートパック10では、公開済みのV3.2.9修正モジュール1の内容を含んでいますので、
このため、V3.2.9 修正モジュール1は、公開を終了いたしました。
これから適用される方は、アップデートパック10を適用ください。
・InfoTrace PLUS V3.2 アップデートパック10(V3.2.10)
https://www.soliton.co.jp/support/soliton/software/infotrace_plus/itp_v32x.html
------------------------------------------------------------------------------------
<2014/5/15 追記>
Apache Strutsの脆弱性に対応した修正モジュールにおいて、
一部の環境でモジュール適応後にスケジュール検索が動作しない障害が見つかりました。
回避方法、復旧方法等の詳細を、下記のFAQにて公開していますのでご確認ください。
------------------------------------------------------------------------------------
<2014/5/9 追記>
Apache Strutsの脆弱性に対応した修正モジュールを公開致しました。
下記のサイトで公開しています。
InfoTrace PLUS V3.2.9 (InfoTrace V3.2.9) 修正モジュール1
------------------------------------------------------------------------------------
<2014/4/25 追記>
Apache Struts2の脆弱性について、2014年4月24日にIPA等から
※ファイルモードは該当しません
●影響範囲
TraceBrowser Webで使用している[AnalysisServer]において
該当のStrutsが使用されています。
●攻撃された場合の影響等
本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、
任意のJavaコードが実行され、ファイルシステムの破壊や、バックドアの設置など
様々な被害を受ける恐れがあります。
●対策
脆弱性に対応した修正モジュールを提供する予定です。
修正モジュールが提供されるまでの間は、下記の対策を行ってください。
■修正モジュールの概要
・適用可能なバージョン
InfoTrace PLUS V3.2.9(アップデートパック9)
※V3.2.8以下のバージョンには適用できません。
適用にはV3.2.9へのアップデートが必要です。
なお、V3.2.9では、
OpenSSL脆弱性(CVE-2014-0160)にも対応済みですので、
事前にアップデート頂くことをお勧めいたします。
・修正モジュールの提供時期
2014年5月上旬(予定)→
2014/5/9 公開済
■対策内容
修正モジュールの適用を待たずに、すぐ可能な対策として、
以下を行うことをご検討ください。
対策1. TraceBrowser Webを使用する端末を必要最低限に限定する
TraceBrowser Webを使用する端末を限定し、
それ以外のIPアドレスからは拒否するように制限して、
アクセス元を信頼できる端末のみに限定することで、
リスクを減らします。
▽tomcatの設定ファイルによる制限方法
1.AnalysisServer上でエクスプローラで以下のフォルダを開きます
・64bit OSの場合
C:\Program Files (x86)\Soliton Smart Secuirty\InfoTrace\tomcat\conf
C:\Program Files (x86)\Soliton Smart Secuirty\InfoTrace\tomcat\ssl
・32bit OSの場合
C:\Program Files\Soliton Smart Secuirty\InfoTrace\tomcat\conf
C:\Program Files\Soliton Smart Secuirty\InfoTrace\tomcat\ssl
2.以下のファイルをメモ帳などのテキストエディタで開きます
ファイル「server.xml」
3.ファイルの最下部から6行目付近に下記の行がある箇所を見つけます。
</Host>
4.この行の直前に以下の赤字のようにアクセスを許可するTraceBrowser Webの
接続元のIPアドレスを追記します。
例)ローカルマシンのみ許可する場合
IPv6のローカルアドレス「0:0:0:0:0:0:0:1」と
IPv4のローカルアドレス「127.0.0.1」のみ許可
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="0:0:0:0:0:0:0:1,127.0.0.1" />
</Host>
5.またその行の直前にあるコメント行の前後のコメント(赤字の2か所)を削除し、
アクセスログを出力するように設定します。
これにより、アクセス制限を設定した端末のアクセスを含む、
すべてのアクセスがアクセスログに記録されます。
ログを定期的に確認することで、想定外の不正なアクセス等を
早期に知ることに繋がります。
<!--
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
-->
↓
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
この設定によって以下のフォルダにアクセスログが記録されます。
・64bit OSの場合
C:\Program Files (x86)\Soliton Smart Security\InfoTrace\tomcat\logs
・32bit OSの場合
C:\Program Files\Soliton Smart Security\InfoTrace\tomcat\logs
6.編集したファイル「server.xml」を上書き保存します。
※サンプルの「server.xml」を添付していますので、参考にしてください。
7. [サービス]で「Soliton InfoTrace AnalysisServer」サービスを再起動してください。
※V3.0の場合は「Soliton InfoTrace Enterprise AnalysisServer」となります。
8.許可した端末(手順4で追加したIPアドレス)以外から
TraceBrowser Webへ接続できないことを確認してください。
また、アクセスログに記録されることを確認してください。
以上で完了です。
アクセスログは、アクセスが多くなる場合はサイズが増加しますので、
定期的に削除するか、または不要であれば無効としてください。
対策2. WAF/IPS等を使用している場合に最新シグネチャーの適用
WAF、IPSなどの不正侵入を阻止する機器を設置している場合、
この脆弱性に対応したシグネチャがベンダーから提供されている
最新のファイルを適用ください。各ベンダーにお問い合わせください。
また、これを機に、改めてInfoTrace PLUSで使用している
通信経路をご確認いただき、不要な通信は極力ブロックするように、
Windowsファイアウォール等にて設定ください。
通信の詳細については、下記のマニュアルに記載されています。
●InfoTrace PLUS(Soliton Smart Security) V3.2.9 動作環境一覧
付録B 各コンポーネントが使用するポート番号
マニュアルは、下記のページで公開しています。
https://www.soliton.co.jp/support/soliton/software/infotrace_plus/manual-v32.html#common
※InfoTrace PLUS V3.0の通信も同様です。
各コンポーネント間の通信は、該当のManagerコンポーネントの
IPアドレスのみ通信を許可するように制限することをお勧めします。
また、サーバーが1台でコンポーネントが共存している場合、
該当のポート番号は外部からの通信自体をブロックすることが効果的です。
下記FAQもご確認ください。
脆弱性の影響を受けないための運用方法
以上です。
本件に関する新しい情報については、本FAQ内でお知らせいたします。
===================================================
<2014/4/22 初回公開>
InfoTrace PLUSでは、該当のプログラムは使用していないため、この脆弱性の影響はありません。