最終更新日:2018年11月05日

FAQ TOPページ > FAQ詳細

FAQ番号:388 | 最終更新日:2018/11/05

Apache Struts で発見された脆弱性について下記URLにて公表された脆弱性の報告についてintra-mart製品は影響はないでしょうか?

http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

intra-mart BaseModule/WebPlatformのアプリケーションサーバであるResinでは、この脆弱性を利用して任意のコマンドの実行や内部のファイルなどを漏洩するような操作は行えないことを確認しております。

しかし、Resinに対する一部設定(dependencyCheckIntervalなど)を変更できる可能性がある為、脆弱性に対応したパッチを用意いたしました。
以下のパッチダウンロードサイトよりダウンロードしてREADME.txtをご参照の上、適用してください。 また、intra-mart Accel Platformに関しては、SAStrutsを利用する際に、Struts1を組み込んでおりますが、SAStrutsでは、この脆弱性の影響を受けません。
(参考:http://d.hatena.ne.jp/higayasuo/20140425/1398403491 )


エクステンションのIM-SecureSignOnでもStruts1を利用しておりますが、こちらに関しては、今回の脆弱性の影響を受けないことを確認しておりますので、対処は不要です。

  • 2014/4/28追記:
    Ver4.1,Ver4.2,Ver4.3の場合:
    ・Strutsを利用したアプリケーションを開発、利用されている場合は、対応が必要。
    ・インストール時にサンプルを導入した場合は、Strutsを利用したサンプルアプリケーションがインストールされているので、対応が必要。

    Ver5.0,Ver5.1の場合:
    ・Struts連携でのアプリケーションを開発、利用されている場合は、対応が必要。
     

    Ver6.0,Ver6.1,Ver7.0,Ver7.1,Ver7.2の場合:
    ・Struts連携、Seasar2連携でのアプリケーションを開発、利用されている場合は、対応が必要。
    ・インストール時にサンプルを導入した場合は、Struts,S2Strutsでのサンプルアプリケーションが、インストールされているため対応が必要。


    これ以外の場合は、Strutsは利用されていませんので、対応は不要ですが、Struts利用の有無などの状況がわからないなどの場合は、本パッチはStrutsアクセス時のみ有効なServletFilterですので、既存のシステムに影響をあたえることなく対応することが可能ですので、適用されることを推奨致します。
    なお、いずれのバージョンにおきましても、適用されているパッチを問わず適用可能です。
     

    ※Struts利用アプリケーションの簡易的な判断方法

    .doで終わるURLでの画面アクセスが存在する場合は、Strutsを利用したアプリケーションを利用されているので対応が必要です。
     


    ※製品標準でStrutsの各種ライブラリは含まれていますが、サンプルがインストールされていない限り、製品標準ではStrutsは使用しておりません。
     

    ※上記記載のIM-SecureSignOn以外の弊社アプリケーション製品のイントラネット・スタートパック、営業支援システム、販売管理システムなどはStrutsを利用しておりません。

    Resinに対する変更可能な設定値
    今回の脆弱性を利用し、一部Resinに対する設定値の変更が外部から行われる可能性があります。
    書き換え可能な内容は、Resin内部におけるファイルの変更監視間隔、変更監視の有効無効が主な内容となります。
    docBase(Tomcatの場合)を書き換える等を用いたサーバ側のファイルの内容が漏洩する等の問題は確認しておりません。

    各製品バージョンに対するStrutsのバージョンは下記の組み合わせとなります。

    Strutsバージョン intra-martバージョン

    Struts 1.0.2

    Ver4.1

    Struts 1.1.0

    Ver4.2,Ver4.3

    Struts 1.2.7

    Ver5.0
    (デフォルトでは組み込み無し、Sturts連携ガイドに記載)

    Struts 1.2.8

    Ver5.1
    (デフォルトでは組み込み無し、Sturts連携ガイドに記載)

    Struts 1.2.9

    Ver6.0

    Struts 1.3.8

    Ver6.1、Ver7.0、Ver7.1、Ver7.2

  • 2014/4/28 追記2

    • Q:
      サンプルをインストールしているだけ、つまりサンプルを実行するか実行しないかは関係なく問題が起こる可能性があるということでしょうか?
      それともサンプルを実行するメニューが表示されいて、かつサンプルを実行する事が可能であるユーザログインがある場合に問題があるのでしょうか?

      A:
      Strutsのサンプルはインストールしているだけでアクセス可能な状態になっていますので、インストール時にサンプルを導入している環境では、パッチの適用をお願い致します。
  • 2014/4/30 追記

    • Q:
      サンプルが導入済みかどうかの判断方法を教えて下さい。<

      A:
      Application Runtimeのdoc/imart/WEB-INF/classes/sampleのディレクトリ以下が存在する場合はsmapleがインストールされています。

製品サポートに含まれていない最新バージョンのResinを利用する事は可能でしょうか?
OutOfMemoryについて教えてください。
Resin が「exit reason: HEALTH (exit code=9)」で再起動してしまいます。
Microsoft社 の Windows 10 弊社製品のサポートポリシーと対応予定について
http://www.microsoft.com/ja-jp/windows/features
JavaのFullGCが発生し、動作が遅くなる事象が発生しました。
このFAQについて、ご意見・ご要望をお聞かせください