FAQ(よくあるご質問)

  • 文字サイズ変更
  • S
  • M
  • L
  • No : 3990
  • 公開日時 : 2014/06/25 13:30
  • 更新日時 : 2017/03/14 08:49
  • 印刷

Apache Strutsの脆弱性(CVE-2014-0094)(CVE-2014-0114)の影響

Apache Struts 1/Struts2の脆弱性(CVE-2014-0094)(CVE-2014-0114)のInfoTrace PLUSにおける影響について教えてください。

・Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
 https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
 
カテゴリー : 

回答

<2017/3/13 追記>
Apache Struts 1の脆弱性を指す識別子として、(CVE-2014-0114)を追記しました。
<2014/6/25追記>の通り、アップデートパック10にて対応済みです。
 
<2014/6/25 追記>
Apache Strutsの脆弱性に対応したアップデートパック10をリリースいたしました。
アップデートパック10では、公開済みのV3.2.9修正モジュール1の内容を含んでいますので、
このため、V3.2.9 修正モジュール1は、公開を終了いたしました。
これから適用される方は、アップデートパック10を適用ください。
 
・InfoTrace PLUS V3.2 アップデートパック10(V3.2.10)
https://www.soliton.co.jp/support/soliton/software/infotrace_plus/itp_v32x.html
------------------------------------------------------------------------------------
 
<2014/5/15 追記>
Apache Strutsの脆弱性に対応した修正モジュールにおいて、
一部の環境でモジュール適応後にスケジュール検索が動作しない障害が見つかりました。
 
回避方法、復旧方法等の詳細を、下記のFAQにて公開していますのでご確認ください。
 
 
------------------------------------------------------------------------------------
<2014/5/9 追記>
Apache Strutsの脆弱性に対応した修正モジュールを公開致しました。
下記のサイトで公開しています。
 
InfoTrace PLUS V3.2.9 (InfoTrace V3.2.9) 修正モジュール1
 
------------------------------------------------------------------------------------
<2014/4/25 追記>
Apache Struts2の脆弱性について、2014年4月24日にIPA等から
Struts 1.xにも同様な脆弱性が存在することが公表されました。

Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

InfoTrace PLUS データベースモードのAnalysisServerにおいて、
Struts 1.xを使用しているため、この脆弱性が該当いたします。

●該当バージョン
 InfoTrace PLUS V3.x の InfoTrace(PC操作ログ) データベースモード
 ※ファイルモードは該当しません 

●影響範囲
 TraceBrowser Webで使用している[AnalysisServer]において
 該当のStrutsが使用されています。
 
●攻撃された場合の影響等
 本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、
 任意のJavaコードが実行され、ファイルシステムの破壊や、バックドアの設置など
 様々な被害を受ける恐れがあります。

●対策
 脆弱性に対応した修正モジュールを提供する予定です。
 修正モジュールが提供されるまでの間は、下記の対策を行ってください。

 ■修正モジュールの概要
  ・適用可能なバージョン
   InfoTrace PLUS V3.2.9(アップデートパック9)
 
   ※V3.2.8以下のバージョンには適用できません。
    適用にはV3.2.9へのアップデートが必要です。
   
   V3.2.9は、2014年4月25日に公開致しました。
   以下のサイトからダウンロード可能です。
   https://www.soliton.co.jp/support/soliton/software/infotrace_plus/itp_v32x.html

   なお、V3.2.9では、OpenSSL脆弱性(CVE-2014-0160)にも対応済みですので、
   事前にアップデート頂くことをお勧めいたします。

  ・修正モジュールの提供時期
   2014年5月上旬(予定)2014/5/9 公開済

 ■対策内容
  修正モジュールの適用を待たずに、すぐ可能な対策として、
  以下を行うことをご検討ください。

  対策1. TraceBrowser Webを使用する端末を必要最低限に限定する
     TraceBrowser Webを使用する端末を限定し、
     それ以外のIPアドレスからは拒否するように制限して、
     アクセス元を信頼できる端末のみに限定することで、
     リスクを減らします。

  ▽tomcatの設定ファイルによる制限方法
   1.AnalysisServer上でエクスプローラで以下のフォルダを開きます

    ・64bit OSの場合
     C:\Program Files (x86)\Soliton Smart Secuirty\InfoTrace\tomcat\conf
     C:\Program Files (x86)\Soliton Smart Secuirty\InfoTrace\tomcat\ssl

    ・32bit OSの場合
     C:\Program Files\Soliton Smart Secuirty\InfoTrace\tomcat\conf
     C:\Program Files\Soliton Smart Secuirty\InfoTrace\tomcat\ssl

   2.以下のファイルをメモ帳などのテキストエディタで開きます

    ファイル「server.xml」

   3.ファイルの最下部から6行目付近に下記の行がある箇所を見つけます。
   
    </Host>

   4.この行の直前に以下の赤字のようにアクセスを許可するTraceBrowser Webの
    接続元のIPアドレスを追記します。

    例)ローカルマシンのみ許可する場合
     IPv6のローカルアドレス「0:0:0:0:0:0:0:1」と
     IPv4のローカルアドレス「127.0.0.1」のみ許可

           <Valve className="org.apache.catalina.valves.RemoteAddrValve"
           allow="0:0:0:0:0:0:0:1,127.0.0.1" />

       </Host>

   5.またその行の直前にあるコメント行の前後のコメント(赤字の2か所)を削除し、
    アクセスログを出力するように設定します。
    これにより、アクセス制限を設定した端末のアクセスを含む、
    すべてのアクセスがアクセスログに記録されます。
    ログを定期的に確認することで、想定外の不正なアクセス等を
    早期に知ることに繋がります。
    
        <!--
   <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"  
               prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
        -->

    ↓

        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"  
               prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
 
    この設定によって以下のフォルダにアクセスログが記録されます。
    
    ・64bit OSの場合
     C:\Program Files (x86)\Soliton Smart Security\InfoTrace\tomcat\logs

    ・32bit OSの場合
     C:\Program Files\Soliton Smart Security\InfoTrace\tomcat\logs

   6.編集したファイル「server.xml」を上書き保存します。
     ※サンプルの「server.xml」を添付していますので、参考にしてください。
 
   7. [サービス]で「Soliton InfoTrace AnalysisServer」サービスを再起動してください。
    ※V3.0の場合は「Soliton InfoTrace Enterprise AnalysisServer」となります。

   8.許可した端末(手順4で追加したIPアドレス)以外から
    TraceBrowser Webへ接続できないことを確認してください。
    また、アクセスログに記録されることを確認してください。

   以上で完了です。
   アクセスログは、アクセスが多くなる場合はサイズが増加しますので、
   定期的に削除するか、または不要であれば無効としてください。
 

  対策2. WAF/IPS等を使用している場合に最新シグネチャーの適用
   WAF、IPSなどの不正侵入を阻止する機器を設置している場合、
   この脆弱性に対応したシグネチャがベンダーから提供されている
   最新のファイルを適用ください。各ベンダーにお問い合わせください。
 

 また、これを機に、改めてInfoTrace PLUSで使用している
 通信経路をご確認いただき、不要な通信は極力ブロックするように、
 Windowsファイアウォール等にて設定ください。

 通信の詳細については、下記のマニュアルに記載されています。

 ●InfoTrace PLUS(Soliton Smart Security) V3.2.9 動作環境一覧
  付録B 各コンポーネントが使用するポート番号

  マニュアルは、下記のページで公開しています。
  https://www.soliton.co.jp/support/soliton/software/infotrace_plus/manual-v32.html#common

  ※InfoTrace PLUS V3.0の通信も同様です。

 各コンポーネント間の通信は、該当のManagerコンポーネントの
 IPアドレスのみ通信を許可するように制限することをお勧めします。
 また、サーバーが1台でコンポーネントが共存している場合、
 該当のポート番号は外部からの通信自体をブロックすることが効果的です。
 
 下記FAQもご確認ください。
 
 脆弱性の影響を受けないための運用方法

以上です。

本件に関する新しい情報については、本FAQ内でお知らせいたします。
 
===================================================
<2014/4/22 初回公開>
InfoTrace PLUSでは、該当のプログラムは使用していないため、この脆弱性の影響はありません。
 
 
添付ファイル : 
server.xml

ご利用方法

●サポートサービスをご契約のお客様
 必ずトップ画面に移動して専用アカウントでログインしてからご利用ください。
 ログイン後、多数の技術情報を公開しております。アカウントがご不明な方は、こちらをご覧ください。

●クラウドサービスをご利用のお客様
 以下のサービスをご利用のお客様は、[Soliton Cloud Service Login Portal]にログイン後、メニューの「FAQ」アイコンをクリックしてご利用ください。

  InfoTrace 360 / Mark II Cloud / SSBサービス / Soliton DNS Guard

 SecureDesktopサービスなど他のクラウドサービスは、トップ画面から「一般ユーザー様向けFAQ」をご覧ください。

FAQで解決しなかったら

アンケート:ご意見をお聞かせください

ご意見・ご感想をお寄せください。
また、分かりにくい、探していた内容でない場合には、内容充実のためどのような
内容を希望されていたのか、お聞かせください。
お問い合わせを入力されましてもご返信はいたしかねます。
回答が必要な場合は、お手数ですが上記の「お問い合わせフォーム」をご利用ください。