製品・ソフトウェアに関する情報
脆弱性検索
TERASOLUNA Server Framework for Java において ClassLoader が操作可能な脆弱性
タイトル TERASOLUNA Server Framework for Java において ClassLoader が操作可能な脆弱性
概要

株式会社エヌ・ティ・ティ・データ が提供する TERASOLUNA Server Framework for Java(Web) は、ウェブアプリケーションを作成するためのソフトウェアフレームワークです。TERASOLUNA Server Framework for Java(Web) は、Apache Struts 1.2.9 を使用しており、Apache Struts 1.2.9 には、ClassLoader が操作可能な脆弱性 (CVE-2014-0114) が存在します。そのため、TERASOLUNA Server Framework for Java(Web) も同脆弱性の影響を受けます。

想定される影響 当該製品が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 2014年5月23日、本脆弱性を修正した Apache Struts 1.2.9 with SP1 by TERASOLUNA を含む TERASOLUNA Server Framework for Java(Web) 2.0.5.2 が公開されました。
公表日 2014年6月17日0:00
登録日 2014年6月17日12:03
最終更新日 2015年8月7日18:15
CVSS2.0 : 危険
スコア 7.5
ベクター AV:N/AC:L/Au:N/C:P/I:P/A:P
影響を受けるシステム
株式会社エヌ・ティ・ティ・データ
TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年06月17日]
  掲載
[2014年07月09日]
  ベンダ情報:富士通 (Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年07月14日]
  ベンダ情報:IBM (1675523) の情報を追加
  ベンダ情報:IBM (1678009) の情報を追加
[2014年07月22日]
  ベンダ情報:Apache Software Foundation (BEANUTILS-463) を追加
  ベンダ情報:Apache Software Foundation (Commons BeanUtils Package Version 1.9.2 Release Notes) を追加
  ベンダ情報:IBM (1676303) を追加
  ベンダ情報:IBM (1676375) を追加
  ベンダ情報:IBM (1676931) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2014 Critical Patch Update Released) を追加
  ベンダ情報:レッドハット (Does CVE-2014-0114 affect Struts 1 in Red Hat products?) を追加
  ベンダ情報:レッドハット (Bug 1091938) を追加
  ベンダ情報:レッドハット (Bug 1116665) を追加
[2014年07月23日]
  ベンダ情報:日立 (HS14-018) を追加
[2014年08月05日]
  ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
  ベンダ情報:富士通 (Interstage Business Application Server, Interstage Application Server, Interstage Apworks, Interstage Studio, Interstage Application Framework Suite, Interstage Job Workload Server, Interstage Service Integrator : Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年08月06日]
  ベンダ情報:日立 (HS14-020) を追加
[2014年08月11日]
  ベンダ情報:IBM (1678621) を追加 
[2014年09月02日]
  ベンダ情報:IBM (1680848) を追加 
  ベンダ情報:IBM (1681190) を追加
  ベンダ情報:IBM (1680767) を追加
  ベンダ情報:IBM (1680194) を追加
[2014年10月21日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加 
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
[2015年01月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年08月07日]
  ベンダ情報:IBM (1676091) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2014-0114
概要

Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.

公表日 2014年4月30日19:49
登録日 2021年1月26日15:04
最終更新日 2024年11月21日11:01
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:commons_beanutils:*:*:*:*:*:*:*:* 1.9.1
構成2 以上 以下 より上 未満
cpe:2.3:a:apache:struts:1.2.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:rc2:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b1:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b2:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b3:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.9:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧