CVE-2017-5638 OneSpan製品におけるApache Strutsの脆弱性
アドバイザリーID vasco-sa-20170313-struts
改訂番号 1.2
リリース日 2017年3月14日08:00 UTC + 1
最後の更新 2017年3月17日午後12:00 UTC + 1
概要
2017年3月6日月曜日に、Apache Struts 2プロジェクトは、Apache Struts 2に存在するリモートコード実行の脆弱性に関するセキュリティ情報を公開しました。
このセキュリティアドバイザリには、脆弱性の影響を受けた製品に関する情報と、パッチの可用性に関する情報が含まれています。
影響を受ける製品
以下の製品は、CVE-2017-5638の脆弱性の影響を受けます。
- IDENTIKEY Authentication Server 3.5以降
- IDENTIKEY Appliance 3.5.7.1以降。
影響を受ける製品
- IDENTIKEYアプライアンス
- IDENTIKEY認証サーバー
- IDENTIKEY仮想アプライアンス
説明文
次の脆弱性の説明は、NIST National Vulnerability Databaseから抽出されました。
「Apache Struts 2 2.3.xより前の2.3.xおよび2.5.10.1より前の2.5.xのJakarta Multipartパーサーは、ファイルのアップロードを誤って処理するため、リモートの攻撃者が巧妙に細工されたContent-Type HTTPヘッダーの#cmd =文字列を介して任意のコマンドを実行できます。、2017年3月に実際に悪用されました。」
IDENTIKEY認証サーバーとIDENTIKEYアプライアンスの範囲で、この脆弱性はWeb管理コンポーネントに存在します。この脆弱性は、悪意のあるユーザーがWeb管理コンポーネントのログインページなどのWeb管理コンポーネントのWebリソースにアクセスできる場合にのみ悪用されます。
重大度スコア
以下の表は、OneSpan製品のCVE-2017-5638脆弱性のCVSS 2.0脆弱性スコアを示しています。
| CVSS基本スコア:6.8(中) | |||||
| アクセスベクター | アクセスの複雑さ | 認証 | 機密性への影響 | 完全性への影響 | 可用性への影響 |
| 通信網 | 中 | 無し | 部分的 |
部分的 |
部分的 |
製品の修正
OneSpanは、次の製品のパッチをリリースしました。
- IDENTIKEY認証サーバー3.11 / IDENTIKEY認証サーバー3.11 R2
- IDENTIKEY認証サーバー3.10 / IDENTIKEY認証サーバー3.10 R2
- IDENTIKEY認証サーバー3.9
- IDENTIKEY認証サーバー3.8
- IDENTIKEYアプライアンス3.10.11.x
- IDENTIKEYアプライアンス3.11.12.x
脆弱性の悪用を制限するために、お客様はIDENTIKEY Web管理コンポーネントへのアクセスを可能な限り制限する必要があります。
ロケーション
保守契約を結んでいるお客様は、カスタマーポータルから修正済み製品リリースを入手できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。
参照
https://cwiki.apache.org/confluence/display/WW/S2-045
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5638
法的放棄声明
本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。
Copyright©2017 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。