Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
この脆弱性は、該当のソフトウェアによるユーザ入力の検証が不十分なことに起因します。これが原因で、名前空間値のない結果の使用や、値またはアクションのない URL タグの使用が可能になります。上位アクションまたは設定にも名前空間がない、またはワイルドカードの名前空間がない場合、攻撃者は、悪意のある入力を伴う要求を該当のアプリケーションに送信し、そのアプリケーションに処理させることで、この脆弱性をエクスプロイトできる可能性があります。不正利用が成功すると、攻撃者はターゲット システム上で該当アプリケーションのセキュリティ コンテキストで任意のコードを実行する可能性があります。
この脆弱性の不正利用の可能性を検出するには、SnortルールSnort SID 29639、39190、39191、および47634を使用できます
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180823-apache-struts
該当製品
「脆弱性のある製品」のセクションで、影響を受ける各製品またはサービスの Cisco Bug ID を示します。Cisco Bug は Cisco Bug Search Tool で検索可能であり、回避策(使用可能な場合)と修正されたソフトウェア リリースなど、プラットフォーム固有の追加情報が記載されます。
本アドバイザリの「脆弱性のある製品」セクションに記載されていない製品またはサービスは、脆弱性が存在しないと判断されています。
脆弱性のある製品
アスタリスク(*)が付けられた脆弱性のある製品には、影響を受ける Struts ライブラリが含まれます。ただし、ライブラリの製品内での使用方法によっては、これらの製品は、発行時にシスコで認識されているエクスプロイト ベクトルのいずれに対しても脆弱性を示しません。
次の表に、本アドバイザリに記載された脆弱性の影響を受けるシスコ製品を示します。
| 製品 | Cisco Bug ID | Fixed Release Availability |
|---|---|---|
| Collaboration and Social Media | ||
| Cisco SocialMiner * | CSCvk78903 | パッチは 2018 年 9 月 11 日から利用可能 |
| エンドポイント クライアントとクライアント ソフトウェア | ||
| Cisco Prime サービス カタログ * | CSCvm13989 | |
| ネットワークおよびコンテンツ セキュリティ デバイス | ||
| Cisco Identity Services Engine(ISE) | CSCvm14030 | パッチ ファイルは2018年8月31日から利用可能 |
| 音声およびユニファイド コミュニケーション デバイス | ||
| Cisco Emergency Responder * | CSCvm14044 | 1151es(2018年9月21日) スタンドアロン COP(2018 年 9 月 21 日) |
| Cisco Finesse * | CSCvk78905 | パッチ ファイルは 2018 年 9 月 7 日から利用可能。 |
| Cisco Hosted Collaboration Solution for Contact Center * | CSCvm14052 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco MediaSense * | CSCvk78906 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco Unified Communications Manager * | CSCvm14042 | 1151es および 1201es(2018 年 9 月 14 日) スタンドアロン COP(2018 年 9 月 20 日) |
| Cisco Unified Communications Manager IM & Presence Service(旧称 CUPS)* | CSCvm14049 | 1151esおよび1201es(2018年9月21日) スタンドアロン COP(2018 年 9 月 20 日) |
| Cisco Unified Contact Center Enterprise* | CSCvm13986 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco Unified Contact Center Enterprise - Live Data server * | CSCvk78902 | パッチ ファイルは 2018 年 9 月 7 日から利用可能 |
| Cisco Unified Contact Center Express * | CSCvm21744 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco Unified Intelligence Center * | CSCvm13984 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco Unified Intelligent Contact Management Enterprise* | CSCvm13986 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco Unified SIP Proxy ソフトウェア * | CSCvm13980 | 918es(2018 年 9 月 28 日) |
| Cisco Unified Survivable Remote Site Telephony Manager * | CSCvm13979 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| Cisco Unity Connection * | CSCvm14043 | 1151es および 1201su(2018 年 9 月 18 日) スタンドアロン COP(2018 年 9 月 21 日) |
| Cisco Virtualized Voice Browser * | CSCvm14056 | パッチ ファイルは 2018 年 9 月 12 日から利用可能 |
| ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス | ||
| Cisco Video Distribution Suite for Internet Streaming(VDS-IS)* | CSCvm14027 | 2.3.35(2018 年 9 月 15 日) |
| シスコ クラウド ホステッド サービス | ||
| Cisco Network Performance Analysis | CSCvm14040 | |
脆弱性を含んでいないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品およびサービスのみが、この脆弱性の影響を受けることが分かっています。
シスコは、この脆弱性が以下の製品およびサービスには影響を与えないことを確認しました。次のリストにある製品ファミリのすべてのメンバーは、「脆弱性のある製品」セクションに明示的にリストされていない限り、この脆弱性の影響は受けないと判断されます。
ケーブル モデム- Cisco 3G フェムトセル ワイヤレス
ネットワーク アプリケーション、サービス、およびアクセラレーション
- Cisco Data Center Network Manager
ネットワークおよびコンテンツ セキュリティ デバイス
- Cisco Secure Access Control System(ACS)
ネットワーク管理とプロビジョニング
- Cisco MXE 3500 Series Media Experience Engines
- Cisco Prime Access Registrar
- Cisco Prime Central for Service Provider
- Cisco Prime Collaboration Assurance
- Cisco Prime Collaboration Provisioning
- Cisco Prime Infrastructure
- Cisco Prime LAN Management Solution - Solaris
- Cisco Prime License Manager
- Cisco Prime Network Registrar IP アドレス マネージャ(IPAM)
- Cisco Prime Network
- Cisco Prime Order Management
- Cisco Prime Provisioning
- Cisco Security Manager
- Cisco Smart Net Total Care - ローカル コレクタ アプライアンス
Routing and Switching - Enterprise and Service Provider
- Cisco Broadband Access Center for Telco and Wireless
音声およびユニファイド コミュニケーション デバイス
- Cisco Enterprise Chat and Email
- Cisco Hosted Collaboration Mediation Fulfillment
- Cisco Unified Customer Voice Portal
- Cisco Unified E-Mail Interaction Manager
- Cisco Unified Web Interaction Manager
- Cisco Unity Express
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
- Cisco Enterprise Content Delivery System (ECDS)
- Cisco Expressway Series
- Cisco TelePresence Video Communication Server(VCS)
シスコ クラウド ホステッド サービス
- Cisco Business Video Services Automation Software
- Cisco Cloud Web Security
- Cisco Deployment Automation Tool
- Cisco Network Device Security Assessment Service
- Cisco Services Provisioning Platform
- Cisco Smart Net Total Care - Contracts Information System Process Controller
- Cisco Smart Net Total Care
- Cisco Unified Service Delivery プラットフォーム
- Cisco Webex Meeting Center - Windows
- Cisco Webex Meeting Center
- Cisco Webex Network-Based Recording(NBR)Management
- Cisco Webex Teams(旧 Cisco Spark)
- クラウド & マネージド サービス プログラム(CMSP)
回避策
特定のシスコ製品またはサービスでの回避策は、製品固有またはサービス固有の Cisco Bug として文書化され、それぞれこのアドバイザリの「脆弱性のある製品」セクションで特定されます。
修正済みソフトウェア
修正済みソフトウェアリリースの詳細については、本アドバイザリの「脆弱性のある製品」セクションに記載されている Cisco Bug ID を参照してください。Cisco Webex 環境に関する質問は、Cisco Technical Assistance Center(TAC)に送信できます。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco TAC もしくは契約しているメンテナンス プロバイダーまでお問い合わせください。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT) は、この脆弱性のエクスプロイト事例について認識しています。
出典
2018年8月22日、Apache Software Foundationは次のリンクのセキュリティ情報でこの脆弱性を公開しました。https://cwiki.apache.org/confluence/display/WW/S2-057
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.12 | 脆弱性のある製品に対するソフトウェアの可能性に関する情報を更新。 | 該当製品 | Final | 2018 年 9 月 17 日 |
| 1.11 | 脆弱性のある製品に対するソフトウェアの可能性に関する情報を更新。 | 該当製品 | Final | 2018 年 9 月 13 日 |
| 1.10 | 脆弱性な製品のリストを更新。アスタリスク(*)が漏れていました。 | 該当製品 | Final | 2018 年 9 月 10 日 |
| 1.9 | 脆弱性のある製品に対するソフトウェアの可能性に関する情報を更新。 | 該当製品 | Final | 2018 年 9 月 6 日 |
| 1.8 | 脆弱性のある製品と脆弱性を含んでいないことが確認された製品のリストを更新。進行中の調査に対する参照を削除。 | 概要、該当製品 | Final | 2018 年 9 月 5 日 |
| 1.7 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 該当製品 | Interim | 2018 年 9 月 4 日 |
| 1.6 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 該当製品 | Interim | 2018 年 8 月 31 日 |
| 1.5 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 該当製品 | Interim | 2018 年 8 月 30 日 |
| 1.4 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新、エクスプロイト事例の認識を更新。 | 影響のある製品、エクスプロイト事例および公式発表 | Interim | 2018 年 8 月 29 日 |
| 1.3 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 概要および該当製品 | Interim | 2018 年 8 月 28 日 |
| 1.2 | 調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 概要および該当製品 | Interim | 2018 年 8 月 28 日 |
| 1.1 | Snort SID を追加。調査中の製品、脆弱性のある製品、脆弱性を含んでいないことが確認された製品のリストを更新。 | 概要および該当製品 | Interim | 2018 年 8 月 24 日 |
| 1.0 | 初回公開リリース | — | Interim | 2018 年 8 月 23 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。