Struts1.xの脆弱性(CVE ) の詳細と原因

Slides:



Advertisements
Similar presentations
Outlook メール文字化けの原因と対策 Exchange Server 環境編. 目次はじめに文字化けのよくある原因と回避策 1. A:半角英数字、ヨーロッパ言語などが混在した 文字化け B : 送信済みメールの宛先や CC の文字化け 2. 返信、転送時の、ユーザー名や件名の文字化け 3. 日本語が半角英数字に文字化け.
Advertisements

Oracle Application Express アーキテクチャ. © 2009 Oracle Corporation アーキテクチャ概要 データベース 9iR2 、 10g 、 11g 、 XE 内に統合 メタデータ駆動型 APEX リスナー、組込みゲートウェイ、または ModPLSQL を使用.
Web アプリケーション開発 ~図書館管理システム~ 北海道情報大学 情報メディア学 部 情報メディア学科 新井山ゼミ 高橋 隼.
生産管理システム TCC 開発事例 ・業種 製造業 ( 機 械 ) ・分野 生産管理. Step by Tomorrow システム概要 工場の受注から生産、在庫、製造、原価を一括管理で きる統合生産管理システムです。 その他の機能として、社内業務を支援する機能として タイムシート、掲示板、新着情報、行動予定表などの.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
0 クイックスタートガイド|管理者編 スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.
Web アプリをユーザー毎に カスタマイズ可能にする AOP フレームワーク
プログラミング演習3 李 亜民クラス 第2回 ラスタライズ.
第3回参考文献発表 PHP言語 岩永逸平.
Struts1.xの脆弱性(CVE ) に対するSDEの対処:推奨タイプ (サンプルソースコードの公開)
SAP システムにおける SQL Server 運用ノウハウ
受動的攻撃について Eiji James Yoshida penetration technique research site
ISCCD7.5構築 その2 Middleware 導入
オブジェクト指向プログラミング(4) 静的分析(2)
Struts1.xの脆弱性(CVE ) に対するSDEの対処:wrapタイプ (パッチのご提供)
Javaプログラムの開発履歴における アクセス修飾子過剰性の分析
第1回 HTML5入門.
複数のコンピュータ(ノード)を一群にまとめて、信頼性や処理性能の向上を実現するシステム
Myoungkyu Song and Eli Tilevich 発表者: 石尾 隆(大阪大学)
時空間データからのオブジェクトベース知識発見
アクセス修飾子過剰性の変遷に着目したJavaプログラム部品の分析
SourceForge.JP (ソースフォージ・ジェーピー) 媒体資料
Webアプリケーション.
無線LANセキュリティの救世主 IEEE802.1xについて
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
BlueBeanClientを用いた連携の概要
情報工学科 05A2301 樽美 澄香 (Tarumi Sumika)
統合版 価格査定マニュアル2007 インストールガイド 目次 はじめに ご確認ください インストールメニュー(1)
Yahoo!モバイル カテゴリトップテキスト 各キャリア指定
Yahoo!モバイル サウスモバイルテキスト 各キャリア指定
担当:青木義満 情報工学科 3年生対象 専門科目 システムプログラミング 第11回 プロセス間通信4 仮想FTPの実現 担当:青木義満
C#とC++とオブジェクト指向 上甲 健史.
動的スライスを用いたバグ修正前後の実行系列の差分検出手法の提案
空間情報サーバ (株)パスコ.
第8章 Web技術とセキュリティ   岡本 好未.
プログラム実行履歴を用いたトランザクションファンクション抽出手法
PC/NAS/UPS/対策ツールを一括導入
管理画面操作マニュアル <サイト管理(1)> 基本設定 第9版 改訂 株式会社アクア 1.
New accessory hardware Global Platform Division
PC/NAS/UPS/対策ツールを一括導入
動的スライスを用いた バグ修正前後の実行系列の比較
動的スライスを用いたバグ修正前後の実行系列の差分検出手法
Javaによる Webアプリケーション入門 第6回
Java Bytecode Modification and Applet Security
ユーザ毎にカスタマイズ可能な Webアプリケーションの 効率の良い実装方法
ラックマウント型PDUのご紹介 こんな運用に心当たりはありませんか? 電源容量を気にせずに 新しいIT機器を接続している
2002/7/30 IEとOEの安全な設定 中野区医師会医療情報NW委員会 渡辺 正紀 IEとOEの安全な設定   1/25.
スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
Jakarta Struts (2) ソフトウェア特論 第11回.
職務経歴書・スキルシート (職種:職種を記載してください).
醜いアヒルの子の定理 平成15年6月6日(金) 発表者 藤井 丈明.
Web - 01 IIS を インストールしよう.
名古屋開催 SQL セミナーのご案内 名古屋 開催決定 なんでも聞ける ”個別相談会” 付きセミナー! 2010年 1 月度 セミナー概要
可視化機能と Azure 運用自動化ツール により eco クラウドを実現
Javaによる Webアプリケーション入門 第11回
コード片に共通した特性を自動抽出する ソースコード閲覧ツールの試作
様々なデータの蓄積,共有が簡単操作で可能に!
Azure 上での 大規模 CAE ベンチマークをご支援します
Jakarta Struts (1) ソフトウェア特論 第10回.
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
本来の開発・制作業務に集中できる.
プログラミング基礎a 第9回 Java言語による図形処理入門(1) Javaアプレット入門
IBM Software Aviarc Global, Ltd. 導入から稼働まで 15 分未満、フットプリントの小さい IBM WebSphere Liberty Profile ニーズ: サポート付きのコンテナーでは再起動と変更の伝搬が非常に遅くなるために、Aviarc 社のソフトウェア開発者は開発にはオープン・ソースのコンテナーを、実装にはサポート付きのコンテナーを使用していました。しかし、両方の環境間の不整合は、実装の遅れの原因になりました。このことは、迅速な開発グループと高く評価されている同社で
動的スライスを用いたバグ修正前後の実行系列の差分検出手法の提案
動的スライスを用いたバグ修正前後の実行系列の差分検出手法の提案
本来の開発・制作業務に集中できる.
Homepage: anthnet.co.jp
HTTPプロトコルの詳細 M1 峯 肇史.
Presentation transcript:

Struts1.xの脆弱性(CVE-2014-0014) の詳細と原因 日本電気株式会社 2014年6月17日

StrutsV1.x脆弱性(CVE-2014-0114)とは CVE-2014-0114は、CVE-2014-094のStruts2.x ParametersInterceptor類似バグとして、4/24(木)に報告があった脆弱性である。リクエストパラメータによってClassLoaderの属性値を任意に設定可能となる脆弱性です。 StrutsV1.x ブラウザ リクエスト リクエスト abc=123 class.ClassLoader.xxx=yyy abc=123 class.ClassLoader.xxx=yyy リクエストからFormクラスにデータセットのためにBeanUtils#populate()メソッドを実行。設定するメソッドを自動判断。 通常のリクエスト「abc=123」 以外に 「class.ClassLoader.xxx=yyy」 を付加して送信 BeanUtilsでの処理 setAbc(“123”) getClass().getClassLoader().setXxx(“yyy”) ClassLoader 操作 Formクラス Public void setAbc(String abc){ this.abc = abc; }

攻撃対象となりうるリクエストの検出 CVE-2014-0114で影響のあるパラメータ属性有無を検証するための正規表現は以下のとおりとなります。 Grepツールの仕様 チェック用正規表現 \W(英数字および”_”以外)をサポート (^|\W)[cC]lass\W \Wを未サポート (.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*

本脆弱性の影響を受ける環境 StrutsとAPサーバーとの組み合わせにて、本脆弱性の影響内容が異なります。 WebOTX 製品、バージョンごとに影響の内容が異なります。詳細は下記サイトをご確認ください。  参考:NECサポートポータル https://www.support.nec.co.jp/View.aspx?id=3010100868 Oracle WebLogic Server 本脆弱性に対する影響がある旨が報告されています。 詳細はNEORC上で随時公開されますので、そちらをご確認ください。 参考:NEORC http://opendb.middle.nec.co.jp/oracle/ 「Oracle Fusion Middleware 製品に対する Apache Struts 脆弱性の影響について」 JBoss EAP バージョンごとに影響の内容が異なります。詳細は下記サイトをご確認ください。  参考:RedHat社ホームページ https://access.redhat.com/site/ja/solutions/873033 Tomcat バージョン8.x にて発生することが確認されています。ほかのバージョンでも影響がある可能性があります。

“Empowered by Innovation”は、「イノベーションを、あなたのチカラに。そして、あなたと共に歩むNECグループの原動力に。」という意味を込めたNECグループのブランドステートメントです。 私たちが活動するあらゆる分野におけるイノベーションを通じて、お客さまと共に理想を実現するNECグループのあくなき情熱を、ここに表しています。