Are intra-mart products affected by the Apache Struts' vulnerabilities (CVE-2014-0094, CVE-2014-0112, and CVE-2014-0113) ?

 
Avatar
FAQ Manager
Last updated:
First release:
The disclosed vulnerability found in Apache Struts is as follows.
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

It has been confirmed that with Resin, which is the application server of intra-mart BaseModule/WebPlatform, it is impossible to perform operations such as to execute a command arbitrarily and to leak internal files, etc. by taking advantage of this vulnerability.

Some settings for Resin (dependencyCheckInterval, etc.), however, might be changeable so we have prepared patches for the vulnerability.
Please download them from the patch download site below and refer to a README.txt to apply them.
Patches for Apache Struts Vulnerability
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1194 (Japanese)
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1292 (Japanese)

*Target products
intra-mart BaseModule Ver4.1/Ver4.2/Ver4.3/Ver5.0/Ver5.1
intra-mart WebPlatform/AppFramework Ver6.0/Ver6.1/Ver7.0/Ver7.1/Ver7.2


* Impacts on other frameworks included in our products
This vulnerability does not exist in the script development model and JavaEE development model.

*Added on April 30, 2014
In addition, since the patch released on April 25, 2014 does not completely address the attacks using multipart/form-data, we released a patch which can deal with them by Struts itself.
 
Regarding the intra-mart Accel Platform, Struts1 is implemented when SAStruts is in use. SAStruts is not affected by this vulnerability.
(Reference: http://d.hatena.ne.jp/higayasuo/20140425/1398403491) (Japanese)


Struts1 is also used in the extension of IM-SecureSignOnand we have confirmed that it is not affected by the vulnerability, so no measures are required.

Added on April 28, 2014:
For Ver4.1, Ver4.2, Ver4.3:
・If you are developing and using an application which uses Struts, some measures are required.
・If the sample was installed at installation, a sample application which uses Struts was already installed, so some measures are required.

For Ver5.0 and Ver5.1:
・If you are developing and using an application  with Struts linkage, some measures are required.
  
For Ver6.0, Ver6.1, Ver7.0, Ver7.1, Ver7.2:
・If you are developing and using an application which links Struts and Seasar2, measures are required.
・If the sample was installed at installation, a sample application with Struts or S2Struts was already installed, so some measures are required.

In other cases, no measures are required as Struts is not in use. In the case that you do not know whether Struts is used or not, however, we recommend applying the patch. It is Servlet Filter which is valid only at Struts access and you can address the vulnerability without affecting the existing system with it.
It can be applied to any versions regardless of a patch applied to them.
  
*A simple method of judging an application used Struts
   If there is a screen access with an URL ending with do, an application using Struts is being used so measures are required.
  
*Struts various libraries are included in the product standard, but Struts is not used in the product standard unless the sample is installed.
  
*Struts is not used for the intranet start pack, sales support system, sales management system, etc. of our application products other than IM-SecureSignOn described above.

Changeable setting values for Resin
Some setting values for Resin might be changed externally by using this vulnerability.
The rewritable contents are mainly the file change monitoring interval inside Resin and the validity of change monitoring.
We have not confirmed any problems such as leaking the contents of files on the server side by rewriting docBase (in the case of Tomcat).


A Struts version for each product version is a combination of the following.
A Struts version for each product version .PNG

2nd added on April 28, 2014

Q:
Does it mean that the problem might happen if you only install the sample, regardless of whether or not you run it? Or the problem occurs when the menu to run the sample is displayed and a user who can run the sample is logged in?
A:
Since the Struts sample is accessible just by being installed, please apply the patch in the environment where the sample was installed at installation.

Added on April 30, 2014
Q:
How to judge whether or not the sample has been installed.
A:
If the directory under doc/imart/WEB-INF/classes/sample of Application Runtime exists, the sample is installed.

--Target ----------------------------------------------------------------------------
iAP/Accel Platform/All Updates
iWP/Web System Information Platform/WebPlatform/AppFramework
----------------------------------------------------------------------------------------



FAQID:388
Was this article helpful?
0 out of 0 found this helpful
Powered by Zendesk