IDENTIKEY認証サーバーで使用されるApache Strutsコンポーネントのクロスサイトスクリプティング

アドバイザリーID vasco-sa-20151126-ias

改訂番号 1.0

リリース日 2015年11月26日02:10 PM UTC + 1

最後の更新 2015年11月26日02:10 PM UTC + 1

概要

Apache Strutsの特定のバージョンは、デバッグモードがオンになっている場合、またはJSPが実稼働環境で公開されている場合に、クロスサイトスクリプティングの脆弱性の影響を受けます。これらのバージョンのApache Strutsは、IDENTIKEY認証サーバーで使用されています。デバッグモードがオフになっていても、一部のJSPはIASサーバーから直接アクセスできます。

影響を受ける製品

  • IDENTIKEY(仮想)アプライアンスバージョン3.8およびそれ以前
  • IDENTIKEY Authentication Serverバージョン3.8およびそれ以前

説明文

2015年10月に発表されたApache Strutsプロジェクトは、Apache Strutsバージョン2.0.0からバージョン2.3.16.3までが、デバッグモードがオンになっている場合、または本番環境でJSPファイルが公開されている場合に、クロスサイトスクリプティングの脆弱性の影響を受けると発表しました。これらの脆弱性には2つのCVE識別子が割り当てられています。

-CVE-2015-5169:デバッグモードが有効になっている場合、Apache Strutsはクロスサイトスクリプティングの脆弱性に対して脆弱です。リモートの攻撃者は、特別に細工したURLを使用してこの脆弱性を悪用し、URLがクリックされると、ホスティングWebサイトのセキュリティコンテキスト内で被害者のWebブラウザでスクリプトを実行する可能性があります。

-CVE-2015-2992:Apache Strutsは、JSPファイルに直接アクセスする際のクロスサイトスクリプティングの脆弱性に対して脆弱です。リモートの攻撃者は、特別に細工したURLを使用してこの脆弱性を悪用し、URLがクリックされると、ホスティングWebサイトのセキュリティコンテキスト内で被害者のWebブラウザでスクリプトを実行する可能性があります。 

脆弱性CVE-2015-5169は、デフォルトでデバッグモードが無効になっているため、IDENTIKEY認証サービスには適用されません。

脆弱性CVE-2015-2992は、ブラウザーを使用して直接アクセスできるJSPファイルがいくつかあるため、該当します。

重大度スコア

CVSS基本スコア:4.3
アクセスベクター

アクセスの複雑さ

認証 機密性への影響 完全性への影響 可用性への影響
通信網 無し 無し 部分的 無し

 

製品の修正

OneSpanは、次の今後のリリースでこれらの脆弱性を修正します。

  • IDENTIKEY(仮想)アプライアンス3.9
  • IDENTIKEY認証サーバー3.9

お客様は、web.xml構成ファイルに変更を加えることにより、IASインストールを保護できます。この変更により、直接アクセスできないはずのJSPへの直接アクセスが禁止されます。

構成を変更するには、web.xml構成ファイルのweb-app本体に次のsecurity-constraintとsecurity-roleを追加する必要があります。

直接JSPアクセスなし

非JSP

/ decorators / *

/含める/*

/ pages / *

/ウィザード/ *

ユーザーなし

ユーザーをこのロールに割り当てないでください
ユーザーなし

ロケーション

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

参照

-Apache Strutsセキュリティ速報S2-025-https://struts.apache.org/docs/s2-025.html

-http://jvn.jp/en/jp/JVN88408929/index.html

-https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

Copyright©2015 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

ID IDENTIKEY認証サーバーで使用されるApache Strutsコンポーネントのクロスサイトスクリプティング