• 文字サイズ変更
  • S
  • M
  • L
  • No : 3990
  • 公開日時 : 2014/06/25 13:30
  • 更新日時 : 2017/03/14 08:49
  • 印刷

Apache Strutsの脆弱性(CVE-2014-0094)(CVE-2014-0114)の影響

Apache Struts 1/Struts2の脆弱性(CVE-2014-0094)(CVE-2014-0114)のInfoTrace PLUSにおける影響について教えてください。

・Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
 https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
 
カテゴリー : 

回答

<2017/3/13 追記>
Apache Struts 1の脆弱性を指す識別子として、(CVE-2014-0114)を追記しました。
<2014/6/25追記>の通り、アップデートパック10にて対応済みです。
 
<2014/6/25 追記>
Apache Strutsの脆弱性に対応したアップデートパック10をリリースいたしました。
アップデートパック10では、公開済みのV3.2.9修正モジュール1の内容を含んでいますので、
このため、V3.2.9 修正モジュール1は、公開を終了いたしました。
これから適用される方は、アップデートパック10を適用ください。
 
・InfoTrace PLUS V3.2 アップデートパック10(V3.2.10)
https://www.soliton.co.jp/support/soliton/software/infotrace_plus/itp_v32x.html
------------------------------------------------------------------------------------
 
<2014/5/15 追記>
Apache Strutsの脆弱性に対応した修正モジュールにおいて、
一部の環境でモジュール適応後にスケジュール検索が動作しない障害が見つかりました。
 
回避方法、復旧方法等の詳細を、下記のFAQにて公開していますのでご確認ください。
 
 
------------------------------------------------------------------------------------
<2014/5/9 追記>
Apache Strutsの脆弱性に対応した修正モジュールを公開致しました。
下記のサイトで公開しています。
 
InfoTrace PLUS V3.2.9 (InfoTrace V3.2.9) 修正モジュール1
 
------------------------------------------------------------------------------------
<2014/4/25 追記>
Apache Struts2の脆弱性について、2014年4月24日にIPA等から
Struts 1.xにも同様な脆弱性が存在することが公表されました。

Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

InfoTrace PLUS データベースモードのAnalysisServerにおいて、
Struts 1.xを使用しているため、この脆弱性が該当いたします。

●該当バージョン
 InfoTrace PLUS V3.x の InfoTrace(PC操作ログ) データベースモード
 ※ファイルモードは該当しません 

●影響範囲
 TraceBrowser Webで使用している[AnalysisServer]において
 該当のStrutsが使用されています。
 
●攻撃された場合の影響等
 本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、
 任意のJavaコードが実行され、ファイルシステムの破壊や、バックドアの設置など
 様々な被害を受ける恐れがあります。

●対策
 脆弱性に対応した修正モジュールを提供する予定です。
 修正モジュールが提供されるまでの間は、下記の対策を行ってください。

 ■修正モジュールの概要
  ・適用可能なバージョン
   InfoTrace PLUS V3.2.9(アップデートパック9)
 
   ※V3.2.8以下のバージョンには適用できません。
    適用にはV3.2.9へのアップデートが必要です。
   
   V3.2.9は、2014年4月25日に公開致しました。
   以下のサイトからダウンロード可能です。
   https://www.soliton.co.jp/support/soliton/software/infotrace_plus/itp_v32x.html

   なお、V3.2.9では、OpenSSL脆弱性(CVE-2014-0160)にも対応済みですので、
   事前にアップデート頂くことをお勧めいたします。

  ・修正モジュールの提供時期
   2014年5月上旬(予定)2014/5/9 公開済

 ■対策内容
  修正モジュールの適用を待たずに、すぐ可能な対策として、
  以下を行うことをご検討ください。

  対策1. TraceBrowser Webを使用する端末を必要最低限に限定する
     TraceBrowser Webを使用する端末を限定し、
     それ以外のIPアドレスからは拒否するように制限して、
     アクセス元を信頼できる端末のみに限定することで、
     リスクを減らします。

  ▽tomcatの設定ファイルによる制限方法
   1.AnalysisServer上でエクスプローラで以下のフォルダを開きます

    ・64bit OSの場合
     C:\Program Files (x86)\Soliton Smart Secuirty\InfoTrace\tomcat\conf
     C:\Program Files (x86)\Soliton Smart Secuirty\InfoTrace\tomcat\ssl

    ・32bit OSの場合
     C:\Program Files\Soliton Smart Secuirty\InfoTrace\tomcat\conf
     C:\Program Files\Soliton Smart Secuirty\InfoTrace\tomcat\ssl

   2.以下のファイルをメモ帳などのテキストエディタで開きます

    ファイル「server.xml」

   3.ファイルの最下部から6行目付近に下記の行がある箇所を見つけます。
   
    </Host>

   4.この行の直前に以下の赤字のようにアクセスを許可するTraceBrowser Webの
    接続元のIPアドレスを追記します。

    例)ローカルマシンのみ許可する場合
     IPv6のローカルアドレス「0:0:0:0:0:0:0:1」と
     IPv4のローカルアドレス「127.0.0.1」のみ許可

           <Valve className="org.apache.catalina.valves.RemoteAddrValve"
           allow="0:0:0:0:0:0:0:1,127.0.0.1" />

       </Host>

   5.またその行の直前にあるコメント行の前後のコメント(赤字の2か所)を削除し、
    アクセスログを出力するように設定します。
    これにより、アクセス制限を設定した端末のアクセスを含む、
    すべてのアクセスがアクセスログに記録されます。
    ログを定期的に確認することで、想定外の不正なアクセス等を
    早期に知ることに繋がります。
    
        <!--
   <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"  
               prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
        -->

    ↓

        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"  
               prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
 
    この設定によって以下のフォルダにアクセスログが記録されます。
    
    ・64bit OSの場合
     C:\Program Files (x86)\Soliton Smart Security\InfoTrace\tomcat\logs

    ・32bit OSの場合
     C:\Program Files\Soliton Smart Security\InfoTrace\tomcat\logs

   6.編集したファイル「server.xml」を上書き保存します。
     ※サンプルの「server.xml」を添付していますので、参考にしてください。

   7. [サービス]で「Soliton InfoTrace AnalysisServer」サービスを再起動してください。
    ※V3.0の場合は「Soliton InfoTrace Enterprise AnalysisServer」となります。

   8.許可した端末(手順4で追加したIPアドレス)以外から
    TraceBrowser Webへ接続できないことを確認してください。
    また、アクセスログに記録されることを確認してください。

   以上で完了です。
   アクセスログは、アクセスが多くなる場合はサイズが増加しますので、
   定期的に削除するか、または不要であれば無効としてください。
 

  対策2. WAF/IPS等を使用している場合に最新シグネチャーの適用
   WAF、IPSなどの不正侵入を阻止する機器を設置している場合、
   この脆弱性に対応したシグネチャがベンダーから提供されている
   最新のファイルを適用ください。各ベンダーにお問い合わせください。
 

 また、これを機に、改めてInfoTrace PLUSで使用している
 通信経路をご確認いただき、不要な通信は極力ブロックするように、
 Windowsファイアウォール等にて設定ください。

 通信の詳細については、下記のマニュアルに記載されています。

 ●InfoTrace PLUS(Soliton Smart Security) V3.2.9 動作環境一覧
  付録B 各コンポーネントが使用するポート番号

  マニュアルは、下記のページで公開しています。
  https://www.soliton.co.jp/support/soliton/software/infotrace_plus/manual-v32.html#common

  ※InfoTrace PLUS V3.0の通信も同様です。

 各コンポーネント間の通信は、該当のManagerコンポーネントの
 IPアドレスのみ通信を許可するように制限することをお勧めします。
 また、サーバーが1台でコンポーネントが共存している場合、
 該当のポート番号は外部からの通信自体をブロックすることが効果的です。
 
 下記FAQもご確認ください。
 
 脆弱性の影響を受けないための運用方法

以上です。

本件に関する新しい情報については、本FAQ内でお知らせいたします。
 
===================================================
<2014/4/22 初回公開>
InfoTrace PLUSでは、該当のプログラムは使用していないため、この脆弱性の影響はありません。
 
 
添付ファイル : 
server.xml

FAQで解決しなかったら

アンケート:ご意見をお聞かせください

ご意見・ご感想をお寄せください お問い合わせを入力されましてもご返信はいたしかねます