株式会社エヌ・エス・アイ(NSI):パソコン認証ソリューション「RegistGate」レジストゲート
会社概要サイト 動作環境 導入実績 トップページ


セキュリティ脆弱性情報 最終更新日 2014年5月23日(金)

Apache Strutsの脆弱性のRegistGateへの影響について

Apache Struts1における脆弱性CVE-2014-0114につきまして、弊社製品RegistGateに関する調査を行いましたので、ここにご報告させていただきます。

概要

RegistGateの全てのバージョンでApache Struts 1を使用しており、脆弱性CVE-2014-0114(クラスローダの操作を許す脆弱性)の影響を受けることが判明しました。

この脆弱性を悪用された場合、悪意ある第三者の攻撃により、RegistGateが動作しているサーバ上で任意のコードが実行されてしまう危険性があります。

この問題の影響を受けるRegistGateのバージョンを以下に示しますので、修正プログラムを適用してください。

脆弱性の影響を受けるバージョン

RegistGateの以下の全バージョンにおいてApache Struts 1を使用しているため、本脆弱性の影響を受けます。

  • 1.0.0
  • 2.0.0〜2.0.2
  • 2.1.0〜2.1.2
  • 2.2.0
  • 2.3.0〜2.3.2

想定される影響

この脆弱性を悪用された場合、Webサーバ内の情報を盗み取られたり、Webアプリケーションを一時的に使用できない状態にされる恐れがある他、最悪ケースではWebサーバ上で攻撃者の用意した任意のコードを実行されてしまう可能性があります。

脅威のレベルは重大です。

対応について

Apache Struts 1は2013年4月5日に公式にEOL(サポート終了)になっており、Apache Software Foundationからは公式にはサポートされていませんが、RegistGateに関しては弊社側で独自にApache Struts 1をサポートしております。

脆弱性CVE-2014-0114に対する対策を行った修正モジュールの提供については、以下のようにRegistGate Enterprise版バージョン2.3.0-3dとして、5月23日より提供を開始いたしました。

お客様にお手数をおかけすることとなり、誠に申し訳ございませんが、修正モジュールを適用してくださいますよう何卒よろしくお願い申し上げます。

脆弱性を緩和したバージョン

本脆弱性(クラスローダの操作を許す脆弱性)は元々Apache Struts 2の脆弱性CVE-2014-0094として知られていましたが、2014年4月24日、国内セキュリティベンダによりApache Struts 2と同様の問題がApache Struts 1にも存在することが公表されました。後者がCVE-2014-0114として特定されるものです。

これを受けて弊社では緊急の対策として4月30日に脆弱性を緩和した修正モジュールをリリースし、5月7日にその改良版をリリースいたしました。

  • バージョン2.3.0-3b (リリース日2014/04/30)
  • バージョン2.3.0-3c (リリース日2014/05/07)

脆弱性を修正したバージョン

5月23日より脆弱性CVE-2014-0094を修正したバージョンを提供開始いたしました。

  • バージョン2.3.0-3d (リリース日2014/05/23)

修正モジュールのダウンロード

修正モジュールはhttp://registgate.com/downloadよりダウンロードできますが、ユーザID、パスワードが必要ですので、弊社連絡窓口にご連絡ください。

2.3.0-3dへのアップグレードパスについて

バージョン2.3.0-xxのうち、xxの部分はパッチレベルを表わします。不具合に対する修正モジュール(パッチ)は基本的には順次適用していただく必要があります。ただしパッチ3bはスキップしてください。

  • バージョン2.2.0をご利用のお客様はいったん2.3.0-3aにアップデートし、その後パッチ3c、3dを順次適用していただく形となります。2.2.0と2.3.0とではサーバ側の対応OSが異なりますので、ご注意ください。
  • バージョン2.3.0をご利用のお客様は、もしパッチレベルが3a未満であればパッチレベルを3aに上げていただき、その後パッチ3c、3dを順次適用してください。
  • その他のバージョンをご利用のお客様は、互換性を保持する形での2.3.0-3dへのアップグレードパスがありません。誠に申し訳ございませんが、個別対応とさせてください。後述の回避策についてもご検討くださるよう何卒よろしくお願い申し上げます。

回避策

この脆弱性は、次に示す方法により影響を緩和できる場合があります。

RegistGateのアップデートを直ちに実施するのが困難な場合は、下記の回避策をご検討くださるよう何卒よろしくお願い申し上げます。

  • RegistGateはデフォルトでTomcatをroot権限で動作させていますが、Tomcatを一般ユーザ権限で動作させることにより、攻撃された場合の被害の範囲を縮小できます。
  • Webアプリケーションファイアウォール(WAF)や侵入防止システム(IPS)等が利用できる場合は、Apache Strutsの脆弱性に対応するシグニチャの導入により、攻撃を検知したり、遮断できる場合があります。

関連情報

更新履歴

  • 2014年5月23日 新規掲載

連絡先

脆弱性連絡窓口 - 電子メール: support@nsi.co.jp