Regarding the vulnerability found in Apache Struts, which was released at the following URL, aren’t intra-mart products affected?

 
The released vulnerability found in Apache Struts is as follows:
https://www.lac.co.jp/lacwatch/alert/20140424_000191.html (Japanese)

We have confirmed that Resin, the application server of intra-mart BaseModule/WebPlatform, cannot execute any command and leak internal files by using this vulnerability.
However, since some settings for Resin (dependencyCheckInterval) may be altered, we prepared appropriate patches for the vulnerability.

Download the patch at the following patch download site, see README.txt, and apply the patch.
Appropriate patches for the vulnerability for Apache Struts
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1194 (Japanese)
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1292 (Japanese)

*Versions affected
intra-mart BaseModule Ver4.1/Ver4.2/Ver4.3/Ver5.0/Ver5.1
intra-mart WebPlatform/AppFramework Ver6.0/Ver6.1/Ver7.0/Ver7.1/Ver7.2


*Other affected frameworks included in our products
This vulnerability does not exist in the script development model or JavaEE development model.

*Postscript on April 30, 2014
Since the patch released on April 25, 2014 cannot completely defend the attack using multipart/form-data, the patch including defense by Struts itself was released.

Additionally, intra-mart Accel Platform incorporates Struts1 for the use of SAStruts, but SAStruts is not affected by this vulnerability.
Reference: https://higayasuo.hatenablog.com/entry/20140425/1398403491 (Japanese)

Although IM-SecureSignOn, an extension, uses Struts1, measures are not required because we confirmed that it is not affected by this vulnerability.

Postscript on April 28, 2014:
For Ver4.1, Ver4.2, Ver4.3:
・If applications in Struts linkage are developed and used, measures are required.
・If a sample is introduced at the time of installation, measures are required because sample applications using Struts are installed.

For Ver5.0, Ver5.1
・If applications in Struts linkage are developed and used, measures are required.

For Ver6.0, Ver6.1, Ver7.0, Ver7.1, Ver7.2:
・If applications in Struts linkage and Seasar2 linkage are developed and used, measures are required.
・If a sample is introduced at the time of installation, measures are required because sample applications of Struts and S2Struts are installed.

Other than the above, measures are not required because Struts is not used, but we recommended application of this patch if you are not sure whether Struts is used because this patch is effective ServletFilter only during access to Struts without affecting the existing system.
Furthermore, this patch is applied to any version regardless of applied patches.

*Simple judging method of confirming an application using Struts
If there is screen access to the URL ending with .do, measures are required because an application using Struts is used.

*As product standards, various libraries of Struts are incorporated, but Struts is not used in product standards unless a sample is installed.

*Other than IM-SecureSignOn described in the above, our application products such as Intranet StartPack, sales support system, or sales management system, do not use Struts.

Changeable setting values for Resin
Some setting values for Resin may be changed from the outside through this vulnerability.
Changeable contents are mainly change monitoring interval of files inside Resin and enabling/disabling monitoring change.
We do not recognize leaking file content of the server mainly rewriting docBase (in the case of Tomcat).


Combinations of product versions and Struts versions are as follows:

Struts version intra-mart version
Struts 1.0.2Ver4.1
Struts 1.1.0Ver4.2, Ver4.3
Struts 1.2.7Ver5.0
(As described in Sturts linkage guide, these versions are not incorporated in the default setting.)
Struts 1.2.8Ver5.1
(As described in Sturts linkage guide, these versions are not incorporated in the default setting.)
Struts 1.2.9Ver6.0
Struts 1.3.8Ver6.1、Ver7.0、Ver7.1、Ver7.2

Postscript 2 on April 28, 2014
Q:
May a problem arise only by sample installation or regardless of execution or non-execution of a sample or is there a problem if the menu that executes a sample is displayed and there is user login that can execute the sample?

A:
Since Struts’ samples are accessible only by installation, apply a patch if the environment introduced the sample at the time of installation.

Postscript on April 30, 2020
Q: I want to know how to judge if a sample has been introduced.<

A;
A sample is installed if anything exists equal or under the directory of doc/imart/WEB-INF/classes/sample of Application Runtime.

-- Target ------------------------------------------------------------------------
iWP/Web System Construction Platform/WebPlatform/AppFramework
--------------------------------------------------------------------------------


FAQID:712
Was this article helpful?
0 out of 0 found this helpful
Powered by Zendesk