Apache Roller の ActionSupport コントローラの実装に起因する任意コード実行の脆弱性（Scan Tech Report）

Apache Roller に、ActionSupport コントローラの getText メソッドを実行するリクエストの取り扱いに起因して、任意の Java コードが実行可能な脆弱性が存在します。

脆弱性と脅威エクスプロイト

2014.1.29 Wed 8:00

1.概要
Apache Roller に、ActionSupport コントローラの getText メソッドを実行するリクエストの取り扱いに起因して、任意の Java コードが実行可能な脆弱性が存在します。リモートの第三者に悪用されると、Apache Roller が設置された Web サーバ上で、不正な操作が実行される可能性があります。

2.深刻度(CVSS)
6.8
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4212&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P)&version=2

3.影響を受けるソフトウェア
Apache Roller 5.0.2 より前のバージョン

4.解説
Apache Roller は、Apache Software Foundation が提供する、ブログサーバを構築・管理するソフトウェアであり、OGNL(Object-Graph Navigation Language)(*1) をサポートしています。

Apache Roller には、ActionSupport コントローラの getText メソッドの処理に不備があり、pageTitle パラメータに指定された値を OGNL 式として処理するため、このパラメータに細工した値を指定したリクエストを Apache Roller に送信することで、任意の Java コードを実行可能な脆弱性が存在します。

この脆弱性は、Apache Struts 2 の CVE-2013-2251 と類似の問題です(*2)。攻撃が国内で観測されたという公開情報はありませんが、リクエストを送信するだけで脆弱性を悪用可能であり、かつ想定される被害が大きいため、影響を受けるバージョンの Apache Roller を利用されている環境では、可能な限り以下に記載する対策の実施を推奨します。

(*1): Java オブジェクトのフィールドを取得または設定するための式言語
(*2): http://scan.netsecurity.ne.jp/article/2013/07/24/32138.html

5.対策
以下の Web サイトより、Apache Roller 5.0.2 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。なお、5.0.2 には別の脆弱性が報告されています(*3)ので、できる限り最新版にアップデートをすることを推奨します。

Index of /dist/roller/roller-5
http://archive.apache.org/dist/roller/roller-5/

(*3): http://rollerweblogger.org/project/entry/apache_roller_5_0_3

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー・グリッド研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《吉澤亨史（ Kouji Yoshizawa ）》