複数のシスコ製品におけるApache Struts 2コマンド実行の脆弱性

ダウンロード オプション

  • PDF     (348.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (72.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 10 月 12 日
Document ID:SA213070

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Critical

Critical

アドバイザリーID : cisco-sa-20131023-struts2
初公開日 : 2013-10-23 16:00
最終更新日 : 2015-10-12 12:30
バージョン 1.1 : Final
CVSSスコア : 10.0
回避策 : No workarounds available
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

複数のシスコ製品に、リモートコマンド実行の脆弱性の影響を受けるApache Struts 2コンポーネントの実装が含まれています。

この脆弱性は、ユーザが指定する入力のサニタイズが不十分であることに起因します。攻撃者は、Object-Graph Navigation Language(OGNL)式で構成される要求を巧妙に細工して該当システムに送信することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はターゲットシステムで任意のコードを実行できる可能性があります。

シスコは、Cisco Business Edition 3000を除くすべての該当製品について、この脆弱性に対処するソフトウェアアップデートをリリースしています。Cisco Business Edition 3000をご使用のお客様は、シスコの担当者にお問い合わせください。

これらの脆弱性に対しては回避策がありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2

該当製品

脆弱性のある製品

次のシスコ製品のすべてのソフトウェアリリースがこの脆弱性の影響を受けます。
  • Cisco Business Edition 3000
  • Cisco Identity Services Engine(ISE)
  • Cisco Media Experience Engine(MXE)3500シリーズ
  • Cisco Unified SIP Proxy(Cisco Unified SP)
  • Cisco Unified Contact Center Enterprise(Cisco Unified CCE)およびCisco Packaged Contact Center Enterprise(Cisco PCCE)

注:Cisco ISEソフトウェアは、次のリンクのCisco Security Advisoryで説明されている追加の脆弱性の影響を受けます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-ise

Cisco ISEをご使用のお客様は、アップグレードパスを決定する前にアドバイザリを参照してください。

脆弱性を含んでいないことが確認された製品

次のシスコ製品は分析済みであり、この脆弱性の影響を受けません。
  •     Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア
  •     Cisco Business Edition 5000およびCisco Business Edition 6000シリーズ
  •     Cisco Cloud Web Security
  •     Cisco Conductor
  •     Cisco Configuration Assurance Solution
  •     Cisco Data Center Network Manager(DCNM)
  •     Cisco DVR
  •     Cisco Emergency Responder
  •     Cisco Firewall Service Module(FWSM)ソフトウェア
  •     Cisco Hosted Collaboration Mediation Fulfillment(HCM-F)
  •     Cisco Media Experience Engine(MXE)3000シリーズおよびCisco MXE 5600シリーズ
  •     Cisco Prime Central for HCS Assurance
  •     Cisco Prime Infrastructure
  •     Cisco Prime LAN Management Solution(LMS)
  •     Cisco Prime Network Control System(NCS)
  •     Cisco Secure Access Control Server(ACS)
  •     Cisco TelePresence Manager、Cisco TelePresence Recording Server、およびCisco TelePresence Multipoint Switch
  •     Cisco Unified Attendant Console
  •     Cisco Unified Communication Domain Manager(CUCDM)
  •     Cisco Unified Communication Manager(CallManager)
  •     Cisco Unified Communications Manager IM and Presence ServiceおよびCisco Unified Presence
  •     Cisco Unified MeetingPlace
  •     Cisco Unified Operation Manager(CUOM)
  •     Cisco Unified Services Monitor(CUSM)
  •     Cisco Unified Survivable Remote Site Telephony(SRST)Manager
  •     Cisco Unified Survivable Remote Site Voicemail(SRSV)
  •     Cisco Unity Connection
  •     Cisco Videoscape Control Suite
  •     Cisco Webセキュリティ、Cisco Eメールセキュリティ、およびCiscoコンテンツセキュリティ管理アプライアンス
  •     Cisco Webex
  •     Cisco WebEx Recording Format(WRF)およびCisco WebEx Network-Based Recorder(NBR)プレーヤー
  •     Cisco Wireless Control System(WCS)
  •     CiscoWorks Common Services

他のシスコ製品はこの脆弱性の影響を受けません。


詳細

DefaultActionMapperコンポーネントの脆弱性により、認証されていないリモートの攻撃者がターゲットシステムで任意のコマンドを実行する可能性があります。

この脆弱性は、ユーザが指定する入力のサニタイズが不十分であることに起因します。攻撃者は、Object-Graph Navigation Language(OGNL)式で構成される要求を巧妙に細工して送信することで、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者はターゲットシステムで任意のコードを実行できる可能性があります。

この脆弱性がシスコ製品に与える影響は、影響を受ける製品によって異なります。Cisco ISE、Cisco Unified SIP Proxy、およびCisco Business Edition 3000での不正利用に成功すると、該当システムで任意のコマンドが実行される可能性があります。Cisco ISE、Cisco Unified SIP Proxy、およびCisco Unified CCEまたはCisco PCCEに対する攻撃を実行するために認証は必要ありません。Cisco Business Edition 3000でこの脆弱性を不正利用するには、攻撃者が有効なクレデンシャルを提供するか、または有効なクレデンシャルを持つユーザに悪意のあるURLを実行するように説得する必要があります。

Cisco MXE 3500シリーズの不正利用に成功すると、攻撃者が悪意のある可能性のある別のWebサイトにユーザをリダイレクトする可能性があります。ただし、この製品では任意のコマンドを実行することはできません。

攻撃ベクトルとその影響に関する詳細については、このセキュリティアドバイザリの「脆弱性スコア詳細」セクションを参照してください。

この脆弱性は、Cisco ISEについてはCisco Bug ID CSCui22841(登録ユーザ専用)、Cisco Business Edition 3000についてはCSCui33268(登録ユーザ専用)、Cisco Unified SIP ProxyについてはCSCui40582(登録ユーザ専用)、Cisco MMSについてはCSCui487755555577(登録5555)に0000000000000000000000000000000000000000000000000000000xe 3500 Series、およびCSCui51516(登録ユーザ専用)。Cisco Unified CCEおよびCisco PCCE用。

この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-2251が割り当てられています

回避策

この脆弱性を軽減する回避策はありません。

修正済みソフトウェア

シスコは、Cisco Business Edition 3000を除くすべての該当製品について、この脆弱性に対処するソフトウェアアップデートをリリースしています。Cisco Business Edition 3000をご使用のお客様は、シスコの担当者にお問い合わせください。

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

次の表に、影響を受ける各製品の最初の修正リリースを示します。

 製品 First Fixed Release(修正された最初のリリース)
Cisco ISE1  1.0.4.573-6、1.1.0.665-4、1.1.1.268-6、1.1.2.145-9、1.1.3.124-4、1.1.4.218-4、および1.2.0.899
Cisco Business Edition 3000  利用できません。利用できるオプションについては、Cisco TACまたはシスコの担当者にお問い合わせください
Cisco Unified Sip Proxy  8.5(5)
Cisco MXE 3500シリーズ  3.3.2およびStrutsPatch.zipの適用
Cisco Unified CCEおよびCisco PCCE
10.5(1)、8.5(4)ES37、9.0(4)ES39、9.0(3)ES13、10.0(1)ES10、および10.0(2)

:Cisco Unified CCEのEngineering Specialパッチリリースは、次のリンクから入手できます。

8.5(4):http://www.cisco.com/cisco/software/special/release.html?config=2c8f679b8cdc4fed65e866e30fced34c
9.0(4):http://software.cisco.com/download/special/release.html?config=b40f7ffb0a876e5dae4e202df4b6547b
9.0(3):http://software.cisco.com/download/special/release.html?config=593487b10e77653c20560c54efa6e7a0


1Cisco ISEは、次のリンクのCisco Security Advisoryで説明されている脆弱性の影響を受けます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-ise

Cisco ISE のお客様は、アップグレード パスを決定する前にアドバイザリを確認する必要があります。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Apacheはこの脆弱性を次のURLで確認しました。http://struts.apache.org/release/2.3.x/docs/s2-016.html

この脆弱性を不正利用するコードは、インターネット上のさまざまなソースから一般に入手可能です。概念実証コードは、公式のApache Struts 2ページでも公開されています。

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。

出典

この脆弱性は、Security Metrics社のKevin Ostrin氏によってCisco Unified CCEおよびCisco PCCEに関してシスコに報告されました。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
1.1 Cisco Unified CCEおよびCisco PCCEに関する情報を追加。 影響を受ける製品と詳細 Final 2015年10月9日
1.0 初回公開リリース 2013 年 10 月 23 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。