Critical
Critical
アドバイザリーID : cisco-sa-20170909-struts2-rce
初公開日 : 2017-09-09 17:00
最終更新日 : 2017-10-23 20:24
バージョン 1.11 : Final
回避策 :
No workarounds available
Cisco バグ ID :
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2017 年 9 月 7 日、Apache ソフトウェア財団は、Apache Struts 2 パッケージの Freemarker タグ機能の脆弱性を公開するセキュリティ情報をリリースしました。この脆弱性により、認証されていないリモート攻撃者が該当システム上で任意のコードを実行する可能性があります。Apache ソフトウェア財団はこの脆弱性の重大度を Medium に分類しました。この脆弱性の詳細についてはこのアドバイザリの「詳細情報」の項を参照してください。
シスコの複数の製品に、この脆弱性の影響を受けるバージョンの Apache Struts 2 パッケージが組み込まれています。
この脆弱性の不正利用の可能性を検出するには、次のSnortルールを使用できます。Snort SID 44327 ~ 44330。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170909-struts2-rce
シスコの複数の製品に、この脆弱性の影響を受けるバージョンの Apache Struts 2 パッケージが組み込まれています。
この脆弱性の不正利用の可能性を検出するには、次のSnortルールを使用できます。Snort SID 44327 ~ 44330。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170909-struts2-rce
該当製品
製品がこの脆弱性による影響を受けるかどうかについては、このアドバイザリの「脆弱性が存在する製品」および「脆弱性を含んでいないことが確認された製品 」の項を参照してください。「脆弱性が存在する製品」の項には、影響を受ける製品の Cisco Bug ID を示します。Bugs は Cisco Bug Search Tool で検索可能であり、利用可能な回避策と修正されたソフトウェア リリースなど、プラットフォーム固有の追加情報が記載されます。
注:「脆弱性が存在する製品」または「脆弱性を含んでいないことが確認された製品」のセクションには、Strutsを含むシスコ製品のみがリストされています。リストされていないシスコ製品には Struts は含まれておらず、したがっては影響を受けません。
脆弱性のある製品
シスコは、この表に記載されている各シスコ バグに修正済みソフトウェア リリースに関する詳細情報を示しています。Bugs は、Cisco Bug Search Tool で検索できます。ソフトウェア アップグレードを計画する際は、直接 Bugs を確認してください。最新情報が記載されています。
次の表に、本アドバイザリに記載された脆弱性の影響を受けるシスコ製品を示します。
| 製品 | Cisco Bug ID | Fixed Release Availability |
|---|---|---|
| ネットワーク管理とプロビジョニング | ||
| Cisco Digital Media Manager | CSCvf89977 | 修正予定なし(EoSWM)(2016 年 8 月 19 日) |
| Cisco MXE 3500 Series Media Experience Engines | CSCvf89979 | 修正予定なし(EoSWM)(2017 年 1 月 2 日) |
| ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス | ||
| Cisco Video Distribution Suite for Internet Streaming(VDS-IS) | CSCvf89984 | 修正待ち |
| シスコ ホステッド サービス | ||
| Cisco Network Performance Analysis | CSCvf89992 | Struts 2.3.34 を使用して製品を更新(2017 年 9 月 12 日) |
脆弱性を含んでいないことが確認された製品
シスコは、以下の製品がこのアドバイザリに記載された脆弱性の影響を受けないことを確認しました。
Collaboration and Social Media
エンドポイント クライアントとクライアント ソフトウェア
ネットワーク アプリケーション、サービス、およびアクセラレーション
ネットワークおよびコンテンツ セキュリティ デバイス
ネットワーク管理とプロビジョニング
音声およびユニファイド コミュニケーション デバイス
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
シスコ ホステッド サービス
Collaboration and Social Media
- Cisco SocialMiner
- Cisco Unified MeetingPlace
- Cisco Webex ミーティング サーバ
エンドポイント クライアントとクライアント ソフトウェア
- Cisco WebEx Management - SuperAdmin コントロール パネル
ネットワーク アプリケーション、サービス、およびアクセラレーション
- Cisco Data Center Network Manager
ネットワークおよびコンテンツ セキュリティ デバイス
- Cisco Identity Services Engine(ISE)
ネットワーク管理とプロビジョニング
- Cisco Prime Central for Service Provider
- Cisco Prime Collaboration Provisioning
- Cisco Prime Home
- Cisco Prime LAN Management Solution - Solaris
- Cisco Prime License Manager
- Cisco Prime Network Registrar IP アドレス マネージャ(IPAM)
- Cisco Prime Network
- Cisco Unified Intelligence Center
音声およびユニファイド コミュニケーション デバイス
- Cisco Business Edition 4000
- Cisco Emergency Responder
- Cisco Enterprise Chat and Email
- Cisco Finesse
- Cisco Hosted Collaboration Mediation Fulfillment
- Cisco Hosted Collaboration Solution for Contact Center
- Cisco MediaSense
- Cisco Unified Communications Manager IM & Presence Service(旧称 CUPS)
- Cisco Unified Communications Manager
- Cisco Unified Contact Center Enterprise - Live Data server
- Cisco Unified Contact Center Enterprise
- Cisco Unified Contact Center Express
- Cisco Unified E-Mail Interaction Manager
- Cisco Unified Intelligent Contact Management Enterprise
- Cisco Unified SIP Proxy ソフトウェア
- Cisco Unified Survivable Remote Site Telephony Manager
- Cisco Unified Web Interaction Manager
- Cisco Unity Connection
- Cisco Virtualized Voice Browser
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
- Cisco Enterprise Content Delivery System (ECDS)
シスコ ホステッド サービス
- Cisco Business Video Services Automation Software
- Cisco クラウド E メール セキュリティ
- Cisco Cloud Web Security
- Cisco Context Service
- Cisco Deployment Automation Tool
- Cisco Network Device Security Assessment Service
- Cisco Partner Support Service 1.x
- Cisco Prime サービス カタログ
- Cisco Services Provisioning Platform
- Cisco Smart Net Total Care
- Cisco Spark
- Cisco Tidal Performance Analyzer
- Cisco Umbrella
- Cisco Unified Service Delivery プラットフォーム
- Cisco WebEx Network-Based Recording (NBR) Management
詳細
Apache Struts 2 の脆弱性により、認証されていないリモート攻撃者がターゲット システム上で任意のコードを実行する可能性があります。
この脆弱性は、該当アプリケーションによって処理される Freemarker コンテンツで書き込み可能な式の値に対する安全でない使用に起因します。攻撃者は、該当アプリケーションでの処理のため送信する書き込み可能な式に悪意のある値を追加することにより、本脆弱性を不正利用する可能性があります。不正利用が成功すると、攻撃者はターゲット システム上で該当アプリケーションのセキュリティ コンテキストで任意のコードを実行する可能性があります。
本脆弱性のIDはCVE ID CVE-2017-12611です。
この脆弱性のセキュリティ影響評価(SIR)は Critical です。
この脆弱性は、該当アプリケーションによって処理される Freemarker コンテンツで書き込み可能な式の値に対する安全でない使用に起因します。攻撃者は、該当アプリケーションでの処理のため送信する書き込み可能な式に悪意のある値を追加することにより、本脆弱性を不正利用する可能性があります。不正利用が成功すると、攻撃者はターゲット システム上で該当アプリケーションのセキュリティ コンテキストで任意のコードを実行する可能性があります。
本脆弱性のIDはCVE ID CVE-2017-12611です。
この脆弱性のセキュリティ影響評価(SIR)は Critical です。
回避策
この脆弱性に対処する回避策は Cisco Bugs に記載され、Cisco Bug Search Tool で検索できるようになります。
修正済みソフトウェア
該当ソフトウェア リリースへの更新プログラムは利用可能になった時点で公開され、それらの更新に関する情報は Cisco Bugs に記載されます。Cisco Bug Search Tool を使用してアクセスできます。
シスコがこの脆弱性に対処するソフトウェア アップデートをリリースした際、そのアップデートをインストールしたり、関連するサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したが Cisco Service Contract をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを POS から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
https://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
脆弱性が存在する各製品の影響を受けるリリースと修正済みリリースを判別するには、このアドバイザリの「 脆弱性が存在する製品」の項で製品を識別する Cisco Bug を参照してください。Cisco Bugs は、Cisco Bug Search Tool で検索できます。
シスコがこの脆弱性に対処するソフトウェア アップデートをリリースした際、そのアップデートをインストールしたり、関連するサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したが Cisco Service Contract をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを POS から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
https://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
脆弱性が存在する各製品の影響を受けるリリースと修正済みリリースを判別するには、このアドバイザリの「 脆弱性が存在する製品」の項で製品を識別する Cisco Bug を参照してください。Cisco Bugs は、Cisco Bug Search Tool で検索できます。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、シスコ製品に対するこの脆弱性の不正利用事例とその公表は確認しておりません。
この脆弱性の公開エクスプロイトが入手可能です。
出典
2017年9月7日、Apache Software Foundationは次のセキュリティ情報でこの脆弱性を公開しました。S2-053
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.11 | 脆弱性を含んでいないことが確認された製品のリストを更新し、Cisco Umbrella を追加。 | 脆弱性が存在しない製品 | Final | 2017 年 10 月 23 日 |
| 1.10 | 修正に関する情報を追加し、脆弱性が存在する製品の表を更新。概要、影響を受ける製品、脆弱性が存在する製品、修正済みソフトウェアの文面を「最終版」に更新。 | 概要、影響を受ける製品、脆弱性が存在する製品、修正済みソフトウェア。 | Final | 2017 年 10 月 3 日 |
| 1.9 | 脆弱性を含んでいないことが確認された製品のリストを更新。 | 脆弱性が存在しない製品 | Interim | 2017 年 9 月 28 日 |
| 1.8 | 脆弱性が存在する製品、脆弱性を含んでいない製品、調査中の製品の各項に含まれる製品リストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 25 日 |
| 1.7 | 脆弱性が存在する製品、脆弱性を含んでいない製品、調査中の製品の各項に含まれる製品リストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 21 日 |
| 1.6 | 脆弱性が存在する製品、脆弱性を含んでいない製品、調査中の製品の各項に含まれる製品リストを更新。Under Affected Products added further clarification on products not listed. | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 18 日 |
| 1.5 | 脆弱性が存在する製品と存在しない製品のリスト、および調査中の製品のリストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 15 日 |
| 1.4 | 脆弱性が存在する製品と存在しない製品のリスト、および調査中の製品のリストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 14 日 |
| 1.3 | 脆弱性が存在する製品と存在しない製品のリスト、および調査中の製品のリストを更新。Also included new Snort signatures. | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 13 日 |
| 1.2 | 脆弱性が存在する製品と存在しない製品のリスト、および調査中の製品のリストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 12 日 |
| 1.1 | 脆弱性が存在する製品と存在しない製品のリスト、および調査中の製品のリストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2017 年 9 月 11 日 |
| 1.0 | 初回公開リリース | — | Interim | 2017 年 9 月 9 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。