公開日:2013/10/21 最終更新日:2013/10/21

JVNVU#95955023
JavaServer Faces に複数の脆弱性

概要

Oracle が提供する JavaServer Faces には、複数の脆弱性が存在します。

影響を受けるシステム

JavaServer Faces を使用しているアプリケーションが本脆弱性の影響を受ける可能性があります。
詳しくは、各開発者が提供する情報をご確認ください。

詳細情報

Oracle が提供する JavaServer Faces は、Oracle Fusion Middleware に含まれる Oracle GlassFish Server コンポーネント、Oracle JDeveloper コンポーネント、Oracle WebLogic Server コンポーネントなどで使用されています。
JavaServer Faces には、Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) や Incorrect Control Flow Scoping (CWE-705) などの脆弱性が存在します。

想定される影響

遠隔の第三者によって、情報を取得される可能性があります。

対策方法

アップデートする
Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。
本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • アクセスを制限する

ベンダ情報

ベンダ リンク
Oracle Oracle Critical Patch Update Advisory - October 2013
JavaServer Faces Technology

参考情報

  1. CERT/CC Vulnerability Note VU#526012
    Oracle JavaServer Faces contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-3827
JVN iPedia