Apache Strutsの脆弱性のWebSphere Application Server(WAS)への影響について

Content

当セキュリティー情報はCVE-2014-0114 で公開されたセキュリティー脆弱性に対するWebSphere Application Server での対応についてお知らせするものです。

CVE-2014-0114 の詳細は【関連情報】をご参照ください。
最新情報はオリジナルの技術文書(英文)をご参照ください。

Security Bulletin: Classloader Manipulation Vulnerability in IBM WebSphere Application Server CVE-2014-0114


【本文】
CVEID: CVE-2014-0114
Apache Struts 1.xには、クラスローダーをリモートから操作できる脆弱性(CVE-2014-0114)が存在します。
WebSphere Application Server の管理コンソールおよび WebSphere Extended Deployment Compute Grid ではStruts1を使用しています。

お使いの環境が【対象ソフトウェア】に記載の環境に該当する場合は、【対応策】に記載されている修正を適用してください。


【ご注意ください】
本脆弱性 は、WebSphere Application Serverに同梱されているオプショナル・ライブラリー配下(<WAS_ROOT>/optionalLibraries/Apache/Struts)のStruts V1.Xライブラリーにも該当します。

しかし、WebSphere Application Server では、V7.0以降、オプショナル・ライブラリーとして提供しているStruts V1.Xの使用を非推奨とすることを2008年に発表(※)しています。
そのため、アプリケーションでStrutsを使用する場合は、CVE-2014-0114 の脆弱性への対応のため、Apacheがサポートしている脆弱性対応済みのStrutsバージョンへの移行をお勧めします。
Apache Strutsに関する情報・ダウンロードについては、Apache Struts Webサイトをご参照ください。
Struts1からStruts2への移行については、移行ガイド をご参照ください。
(※) 非推奨のフィーチャー > バージョン 7.0 の非推奨フィーチャー


【重要】
弊社では、今後オプショナル・ライブラリーとして提供しているStruts 1.x に関する修正モジュールを提供する予定はありません。
お客様のアプリケーションでご利用になる場合は、お客様ご自身でApache StrutsのWebサイトより修正モジュールを入手しご利用ください。

また、弊社は、WebSphere Application Server V7.0.0.37/V8.0.0.11/V8.5.5.4より、.現在同梱しているオプショナル・ライブラリー配下のStruts Version 1.xの4バージョンについて、今後削除し同梱しないことを予定しています。
もし、共有ライブラリーとしてオプショナル・ライブ ラリー配下のStrutsをアプリケーションで使用している場合は、WebSphere Application Server V7.0.0.37/V8.0.0.11/V8.5.5.4にバージョンアップする前に以下の対応を行う必要があります。

- 現在サポートされているStrutsバージョンを使用するようにアプリケーションを改修する。
- Struts 1.x パッケージをearに含め開発する。 ※ただし、CVE-2014-0114に対するStruts 1.xの修正モジュールは現在提供されていません。


【対象ソフトウェア】

• WebSphere Application Server and IBM WebSphere Application Server Hypervisor Edition

IBM WebSphere Application Server V7.0.0.0 - V7.0.0.31
IBM WebSphere Application Server V6.1.0.0 - V6.1.0.47
※WAS V8.0/8.5については本脆弱性(CVE-2014-0114)の影響は受けません。

• Modern Batch Feature Pack on WebSphere Application Server Version 7

V1.0.0.0 - 1.0.0.5:

• WebSphere Extended Deployment Compute Grid:

IBM WebSphere Application Server Extended Deployment Compute Grid V8.0.0.0 - V8.0.0.3
IBM WebSphere Application Server Extended Deployment Compute Grid V6.1.0.0 - V6.1.1.6

【対応策】
WebSphere Application Server における脆弱性(CVE-2014-0114)への対応方法は、以下の通りとなります。

1. 各バージョンのFix PackまたはPTFを適用してください。

PI17190 WAS管理コンソール
PI17420 WebSphere Compute Grid のジョブ管理コンソール用

・IBM WebSphere Application Server V7.0.0.0 - V7.0.0.31

・個別修正モジュール APAR PI17190 を適用
※FixPackレベル毎にモジュールが用意されておりますので、合致するレベルのものをダウンロードして適用してください。

・ＦixPack 33 以降 へのアップデート
※Fix Pack 7.0.0.33は、2014年06月23日リリース予定です。(2014/05/27 時点)

・IBM WebSphere Application Server V6.1.0.0 - V6.1.0.47

・個別修正モジュール APAR PI17190 の適用
※FixPackレベル毎にモジュールが用意されておりますので、合致するレベルのものをダウンロードして適用してください。

・Modern Batch Feature Pack V1.0.0.0 - 1.0.0.5

個別修正モジュールは公開されていません。
サポートをお持ちの場合は、お問い合わせください。

・IBM WebSphere Application Server Extended Deployment Compute Grid V8.0.0.0 - V8.0.0.3

・V6.1.0.31以降にバージョン・アップし、個別修正モジュール APAR PI17420 を適用
または
・Compute Grid Fix Pack 8.0.0.4以降へのアップデート
※Fix Pack 8.0.0.4 は、2014年06月23日リリース予定です。(2014/05/27 時点)

・IBM WebSphere Application Server Extended Deployment Compute Grid V6.1.0.0 - V6.1.1.6

個別修正モジュールは公開されていません。
サポートをお持ちの場合は、お問い合わせください。


2. 併せて、管理セキュリティーを有効にし管理コンソールを操作できるユーザーを限定する、ファイヤーウォールで管理コンソールへのアクセスを制限するなどの対応をお勧めします。


※z/OSをお使いのお客様は、 System z Security Portal に登録することをお勧めします。
System z Security Portal では、セキュリティーやインテグリティーに関連するAPAR情報を掲載しています。
セキュリティーやインテグリティーに関する問題の影響を最小限に抑えるためにも、CVSSの値を比較いただくことで、すべてのセキュリティーやインテグリティーに関するAPARを適用いただくことをお勧めします。


【関連情報】

• CVE：CVE-2014-0114
• NIST：CVE-2014-0114
• IPA：Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
• Fix リスト

分散系プラットフォーム(AIX、Linux、Windows、Solaris、HP-UX)の場合： Recommended Fix List for IBM WebSphere Application Server
z/OSの場合： APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS


以上