struts-1.2.9-4jpp.8.AXS3
エラータID: AXSA:2014-309:01
リリース日:
2014/05/09 Friday - 18:18
題名:
struts-1.2.9-4jpp.8.AXS3
影響のあるチャネル:
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Apache Struts の ActionForm オブジェクトには,getClass メソッドへ渡される class パラメータによって,リモートの攻撃者が ClassLoader を操作し,任意のコードを実行する脆弱性があります。(CVE-2014-0114)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2014-0114
Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.
Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.
追加情報:
N/A
ダウンロード:
SRPMS
- struts-1.2.9-4jpp.8.AXS3.src.rpm
MD5: 43cebd5f60731520b91e81bfef8d1dbc
SHA-256: fd52db4e87935de5683780bf54667da5a4bbb99d802ae667b4f605d678073e3e
Size: 5.44 MB
Asianux Server 3 for x86
- struts-1.2.9-4jpp.8.AXS3.i386.rpm
MD5: aaa52b0e878f715910d0d308f6eb0eb4
SHA-256: ffa7d2a71ac6419516f3ac6647d8b780605b00770a53e4b326c8d068ce5da2af
Size: 0.97 MB
Asianux Server 3 for x86_64
- struts-1.2.9-4jpp.8.AXS3.x86_64.rpm
MD5: e69d9e43be7ddba7830bd430fb843dab
SHA-256: de7602623e162a8710c957a2ea9d09b2d3215eb4e290926cbec14a274a4fdf44
Size: 1.09 MB