セキュリティ通知 Apache Struts2- グローバルバージョン

セキュリティ通知 – CertainHikvision iVMS プラットフォーム內の Apache Struts2 脆弱性アラート

SN No.：HSRC-201703-05

編集: Hikvision セキュリティ応答センター (HSRC)

初回リリース日：2017年4月6日

説明

Apache Struts 2はJava ウェブアプリケーションの開発を行うための広く認知されている枠組みの一つです。しかし、Apache Struts 2 のプラグインである JakartaMultipart 構文解析ツールに最近、リモートコード実行の脆弱性があることが判明しました。攻撃者が上記のプラグインでファイルをアップロードする際に、HTTP リクエストのコンテンツタイプを変更することで、悪意のあるリモートソースコードを実行してしまう場合があります。詳細につきましては、ApacheStruts2 の次の公式ウェブサイトを參照してください:http://struts.apache.org/docs/s2-045.html

対象製品:

モバイルと ANPRサブシステムを含む iVMS-5200 プロフェッショナルベースラインのバージョン V3.3.4 以前。
Blazer Pro v1.0 ベースラインバージョン

ソリューション

Hikvision は Apache Struts 2 を最新バージョンの Struts 2.3.32 および 2.5.10.1 にアップグレードするための hotfix を公開しました。最新バージョンは、潛在的な脆弱性を修正するために既に Apache Struts により公式にリリースされています。Hotfix を実裝するには、以下の手順に従ってください:

1. Hikvision の公式ウェブサイトから hotfix をダウンロードします: