Critical
Critical
アドバイザリーID : cisco-sa-20181107-struts-commons-fileupload
初公開日 : 2018-11-07 00:00
最終更新日 : 2019-02-07 14:49
バージョン 1.17 : Final
回避策 :
No workarounds available
Cisco バグ ID :
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2018 年 11 月 5 日に、Apache Struts チームは、Struts 2.3.36 以前のリリースを使用するシステムの Commons FileUpload ライブラリをバージョン 1.3.3 にアップグレードすることを勧めるセキュリティ情報を公開しました。このライブラリより前のバージョンを使用するシステムは、そのシステムで任意のコードを実行したり、ファイルを変更したりできるようにする攻撃を受ける可能性があります。この問題は、CVE-2016-1000031 に割り当てられた、以前に報告済みの Apache Commons FileUpload ライブラリの脆弱性によって引き起こされます。
この脆弱性の原因は、該当ソフトウェアでのユーザ入力の検証が不十分なことにあります。攻撃者は、巧妙に細工されたデータを該当システムに送信することにより、この脆弱性を悪用する可能性があります。悪用が成功すると、攻撃者は該当システムで任意のコードを実行したり、ファイルを操作したりできるようになる可能性があります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-struts-commons-fileupload
該当製品
シスコでは、この脆弱性の影響を受ける製品およびサービスを判断するために、製品ラインを調査しました。
このアドバイザリの脆弱性のある製品のセクションで、影響を受ける各製品またはサービスの Cisco Bug ID を示します。Cisco Bug は Cisco Bug Search Tool で検索可能であり、回避策(使用可能な場合)と修正されたソフトウェア リリースなど、プラットフォーム固有の追加情報が記載されます。
このアドバイザリの「脆弱性のある製品」セクションに記載されていない製品またはサービスは、脆弱性が存在しないと判断されています。
脆弱性のある製品
次の表に、本アドバイザリに記載された脆弱性の影響を受けるシスコ製品およびサービスを示します。ソフトウェアが入手可能になる日付として「修正済みリリースの入手」列に記載されている情報は見通しであり、実際にソフトウェアが入手可能になるのは、次の表に記載された日付とは異なる場合があります。
| 製品 | Cisco Bug ID | Fixed Release Availability |
|---|---|---|
| Collaboration and Social Media | ||
| Cisco SocialMiner | CSCvn22343 | 11.5/11.6 のパッチは 2018 年 12 月に入手可能 12.0.1(2019 年 1 月) |
| Cisco Webex ミーティング サーバ | CSCvn18895 | 2.8MR3 セキュリティ パッチ 1(2018 年 12 月) 3.0MR2 セキュリティ パッチ 2(2018年 12 月) |
| エンドポイント クライアントとクライアント ソフトウェア | ||
| Cisco WebEx Management - SuperAdmin コントロール パネル | CSCvn18901 | T33.7.2 (2018 年 12 月) |
| ネットワークおよびコンテンツ セキュリティ デバイス | ||
| Cisco Identity Services Engine(ISE) | CSCvn17524 | 2.1 パッチ 7/2.3 パッチ 5 に関して入手可能なホット パッチ 2.2 パッチ 12(2018 年 11 月) 2.3 パッチ 6(2019 年 2 月) 2.4 パッチ 5(2018 年 11 月) 2.5(2018 年 12 月) |
| Cisco Secure Access Control System(ACS) | CSCvn18934 | 計画されている修正はありません1 |
| ネットワーク管理とプロビジョニング | ||
| Cisco Evolved Programmable Network Manager | CSCvn44132 | 2.2.1.2(2018 年 12 月) |
| Cisco Prime Collaboration Provisioning | CSCvn18919 | 12.6(2018 年 11 月) |
| Cisco Prime Infrastructure | CSCvn18917 | 3.3.1 更新 04(2019 年 2 月) 3.4.1 更新 03(2019 年 3 月) 3.5(2018 年 12 月) |
| Cisco Prime License Manager | CSCvn18924 | 2018 年 12 月までに 10.5.2/11.5.1 に関して入手可能なパッチ ファイル |
| Cisco Prime Network Registrar IP アドレス マネージャ(IPAM) | CSCvn18913 | 計画されている修正はありません。 |
| Cisco Prime Network | CSCvn18910 | 2018 年 12 月までに 5.1 に関して入手可能なパッチ ファイル 5.2(2019 年 5 月) |
| Cisco Prime サービス カタログ | CSCvn22307 | 12.1 v7 パッチ(2018 年 12 月) |
| Routing and Switching - Enterprise and Service Provider | ||
| Cisco IOx Fog Director | CSCvn19758 | 1.7.1(2019 年 1 月) 1.8(2019 年 2 月) |
| Cisco IoT Field Network Director(旧称:Connected Grid Network Management System) | CSCvn20600 | 4.3.2(2018 年 12 月) |
| 音声およびユニファイド コミュニケーション デバイス | ||
| Cisco Emergency Responder | CSCvn18956 | 2018 年 12 月までに 11.5.1/12.0.1 に関して入手可能なパッチ ファイル 12.5.1(2019 年 1 月) |
| Cisco Enterprise Chat and Email | CSCvn18957 | 11.6 ES6 (2019 年 1 月) 12.0.1(2019 年 1 月) |
| Cisco Finesse | CSCvn22344 | 11.6 のパッチは 2018 年 12 月に入手可能 12.0.1(2019 年 1 月) |
| Cisco Hosted Collaboration Mediation Fulfillment | CSCvn18961 | 11.5(4)(利用可能) |
| Cisco Hosted Collaboration Solution for Contact Center | CSCvn18962 | 12.0.1(2019 年 1 月) |
| Cisco MediaSense | CSCvn22346 | 計画されている修正はありません。 |
| Cisco Unified Communications Manager IM & Presence Service(旧称 CUPS) | CSCvn18959 | 10.5.2/11.5.1/12.0.1 のパッチは 2018 年 12 月に入手可能 12.5.1(2019 年 1 月) |
| Cisco Unified Communications Manager | CSCvn18952 | 10.5.2/11.5.1/12.0.1 のパッチは 2018 年 12 月に入手可能 12.5.1(2019 年 1 月) |
| Cisco Unified Contact Center Enterprise | CSCvn18888 | 12.0.1(2019 年 1 月) |
| Cisco Unified Contact Center Express | CSCvn18955 | 11.5/11.6 のパッチは 2018 年 12 月に入手可能 12.0.1(2019 年 1 月) |
| Cisco Unified E-Mail Interaction Manager | CSCvn18958 | 計画されている修正はありません。 |
| Cisco Unified Intelligence Center | CSCvn18887 | 11.5/11.6 のパッチは 2018 年 12 月に入手可能 12.0.1(2019 年 1 月) |
| Cisco Unified Intelligent Contact Management Enterprise | CSCvn18888 | 12.0.1(2019 年 1 月) |
| Cisco Unified Web Interaction Manager | CSCvn18958 | 計画されている修正はありません。 |
| Cisco Unity Connection | CSCvn18954 | 10.5.2/11.5.1/12.0.1 のパッチは 2018 年 12 月に入手可能 12.5.1(2019 年 1 月) |
| Cisco Virtualized Voice Browser | CSCvn18963 | 11.5/11.6 のパッチは 2018 年 12 月に入手可能 12.0.1(2019 年 1 月) |
| ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス | ||
| Cisco Video Distribution Suite for Internet Streaming(VDS-IS) | CSCvn18928 | パッチは 2018 年 12 月に入手可能 |
| ワイヤレス | ||
| Cisco Mobility Services Engine | CSCvn22305 | パッチは 2018 年 12 月に入手可能 |
| Cisco Universal Small Cell RAN Management System(USC RMS) | CSCvn18939 | 計画されている修正はありません。 |
| シスコ クラウド ホステッド サービス | ||
| Cisco Network Configuration and Change Management | CSCvn19865 | 3.6.1(2018 年 12 月) 3.7(2019 年 3 月) |
| Cisco スマート コネクテッド スペース | CSCvn22310 | パッチは 2018 年 12 月に入手可能 |
| Cisco Smart Net Total Care - Contracts Information System Process Controller | CSCvn18884 | 4.3.6(2018 年 12 月) |
| Cisco WebEx Centers - Meeting Center, Training Center, Event Center, Support Center |
CSCvn24113 | T33.7.2 (2018 年 12 月) T32.20.2 (2018年 12 月) |
| Cisco Webex Meetings | CSCvn18908 | 影響を受けるシステムを更新予定(2018 年 12 月) |
1 Cisco Secure Access Control System(ACS) は、End of Software Maintenance(EoSWM)マイルス トーンに到達しました。この脆弱性を利用できるのは、Cisco ACS 管理コンソールへのアクセスを認証された攻撃者のみです。管理者であれば、環境内の信頼できるホストから Cisco ACS 管理パネルへのアクセスを制限できます。
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
シスコは、この脆弱性が以下の製品およびサービスには影響を与えないことを確認しました。
ネットワーク アプリケーション、サービス、およびアクセラレーション- Cisco Data Center Network Manager
ネットワークおよびコンテンツ セキュリティ デバイス
- Cisco Firepower Management Center
- Cisco Stealthwatch エンドポイント コンセントレータ
- NetFlow 向け Lancope Stealthwatch フロー コレクタ
- sFlow 向け Cisco StealthWatch フロー コレクタ
- StealthWatch FlowSensor
- Cisco StealthWatch 管理コンソール
- Cisco Stealthwatch UDP Director
ネットワーク管理とプロビジョニング
- Cisco Prime Access Registrar
- Cisco Prime Central for Service Provider
- Cisco Prime Collaboration Assurance
- Cisco Prime Collaboration Deployment
- Cisco Prime LAN Management Solution
- Cisco Prime Provisioning
- Cisco Security Manager
Routing and Switching - Enterprise and Service Provider
- Cisco Broadband Access Center for Telco and Wireless
Unified Computing
- Cisco HyperFlex System
音声およびユニファイド コミュニケーション デバイス
- Cisco Unified Customer Voice Portal
- Cisco Unified SIP Proxy ソフトウェア
- Cisco Unified Survivable Remote Site Telephony Manager
- Cisco Unity Express
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
- Cisco StadiumVision Director
- Cisco TelePresence Management Suite
シスコ クラウド ホステッド サービス
- Cisco Business Video Services Automation Software
- Cisco Cloud Web Security
- Cisco Common Services Platform Collector
- Cisco Network Device Security Assessment Service
- Cisco Network Performance Analysis
- Cisco Smart Net Total Care - On-Premises
- Cisco Smart Net Total Care
- Cisco Unified Service Delivery プラットフォーム
- Cisco Webex Network-Based Recording(NBR)Management
回避策
特定のシスコ製品またはサービスでの回避策は、製品固有またはサービス固有の Cisco Bug として文書化され、それぞれこのアドバイザリの「脆弱性のある製品」セクションで特定されます。
修正済みソフトウェア
修正済みソフトウェアリリースの詳細については、本アドバイザリの「脆弱性のある製品」セクションに記載されている Cisco Bug ID を参照してください。Webex 環境に関する質問は、必要に応じて Cisco Technical Assistance Center(TAC)に転送されます。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco TAC もしくは契約しているメンテナンス プロバイダーまでお問い合わせください。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco TAC もしくは契約しているメンテナンス プロバイダーまでお問い合わせください。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
出典
2018年11月5日、Apache Software Foundationは次のリンクでセキュリティ発表をリリースしました。 Struts 2.3.36以前を実行している場合は、すぐにバージョン1.3.3にアップグレードしてください
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.17 | Cisco Prime Infrastructureに関して入手可能な修正済みリリースの情報を更新。修正は、リリース 3.4.1 更新 02 には統合されていませんが、3.4.1 更新 03 に統合される予定です。一部の修正済みリリースの入手可能な時期として 2019年 1 月ではなく 2018年 1 月となっていた誤記を修正。 | 脆弱性が存在する製品 | Final | 2019 年 2 月 7 日 |
| 1.16 | Cisco Prime Infrastructureに関して入手可能な修正済みリリースの情報を更新。修正は、リリース 3.3.1 更新 03 には統合されていませんが、3.3.1 更新 04 に統合される予定です。 | 脆弱性が存在する製品 | Final | 2019 年 1 月 11 日 |
| 1.15 | 修正版リリースを更新。進行中の調査に対する参照を削除。 | 概要、影響を受ける製品、脆弱性のある製品 | Final | 2018 年 12 月 5 日 |
| 1.14 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018 年 11 月 30 日 |
| 1.13 | 修正版リリースを更新。 | 脆弱性が存在する製品 | Interim | 2018 年 11 月 28 日 |
| 1.12 | 修正版リリースを更新。 | 脆弱性が存在する製品 | Interim | 2018 年 11 月 26 日 |
| 1.11 | Cisco WebEx の情報を更新。修正版リリースを更新。 | 「脆弱性のある製品」、「脆弱性を含んでいないことが確認された製品」 | Interim | 2018 年 11 月 22 日 |
| 1.10 | 脆弱性のある製品のリストを更新。修正版リリースを更新。 | 脆弱性が存在する製品 | Interim | 2018-November-21 |
| 1.9 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018 年 11 月 20 日 |
| 1.8 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018 年 11 月 19 日 |
| 1.7 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018-November-16 |
| 1.6 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018-November-15 |
| 1.5 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018-November-14 |
| 1.4 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。Cisco TAC が Webex 環境のリソースであることを記載。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品, 修正済みソフトウェア | Interim | 2018-November-13 |
| 1.3 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018-November-12 |
| 1.2 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。修正版リリースを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018-November-09 |
| 1.1 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2018-November-08 |
| 1.0 | 初回公開リリース | — | Interim | 2018 年 11 月 7 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。