Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性

掲載番号:NV15-004
脆弱性情報識別番号:JVN#14876762

概要

Apache Commons FileUploadには、マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。
攻撃者によって細工されたリクエストを処理すると、対象のシステムを応答不能な状態にされる可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/FAQナビ:全バージョン

対処方法

[対策]
次のバージョンのリビジョンアップ媒体で対応完了しています。
  • CSVIEW/FAQナビ V5.3 リビジョンアップ媒体(V5.3.9)

リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。

WebOTX

影響の有無

影響あり

(1)V8以前
Web版統合運用管理コンソールが本脆弱性の影響を受けます。
また、ユーザアプリケーション内に本脆弱性を含むApache Commons FileUploadがある場合も影響を受けます。

(2)V9.1/V9.2
利用中のWebアプリケーションが本脆弱性の影響を受けます。

対象となる製品のバージョン

(1)V8以前
  • WebOTX Web Edition V6.5
  • WebOTX Standard-J Edition V6.5
  • WebOTX Standard Edition V6.5
  • WebOTX Enterprise Edition V6.5
  • WebOTX UDDI Registry V1.1~V7.1
  • WebOTX 開発環境 V6.5
  • WebOTX Developer V7.1~V8.5
  • WebOTX Application Server Web Edition V7.1~V8.1
  • WebOTX Application Server Standard-J Edition V7.1~V8.1
  • WebOTX Application Server Standard Edition V7.1~V8.1
  • WebOTX Application Server Enterprise Edition V7.1~V8.1
  • WebOTX Application Server Express V8.2 ~ V8.5
  • WebOTX Application Server Foundation V8.2 ~ V8.5
  • WebOTX Application Server Standard V8.2 ~ V8.5
  • WebOTX Application Server Enterprise V8.2 ~ V8.5
  • WebOTX Enterprise Service Bus V8.2 ~ V8.5
  • WebOTX SIP Application Server Standard Edition V7.1~V8.1
  • WebOTX Portal V8.2~V8.4

(2)V9.1/V9.2
  • WebOTX Application Server Express V9.1~V9.2
  • WebOTX Application Server Standard V9.2
  • WebOTX Application Server Enterprise V9.2
  • WebOTX Portal V9.1
  • WebOTX Developer V9.1

(3)RFID Manager
  • RFID Manager V2.1/V7.1

対処方法

[回避策]
(1)V8以前
Web版統合運用管理コンソールの利用時のポート番号(デフォルト5858番)を外部からアクセスできないように制限することで回避してください。
また、ユーザアプリケーション内に本脆弱性を含むApache Commons FileUploadがある場合、リクエストヘッダの許容サイズを4KB以下としてください。

具体的な変更方法は以下URLの「リクエストヘッダの許容サイズ変更手順」を参照してください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010100807

(2)V9.1/V9.2
リクエストヘッダの許容サイズを4KB以下としてください。

具体的な変更方法は以下URLの「リクエストヘッダの許容サイズ変更手順」を参照してください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010100807

(3)RFID Manager
管理用WebUIのポート(28080)にアクセス可能なネットワークアドレスをOSのファイアウォール機能によって制限してください。

[対策]
(1)V8以前、(2)V9.1/V9.2
以下に記載している公開済みパッチモジュールを適用してください。
公開されていないバージョンについては回避方法を実施してください。

対処を行っているバージョンの公開状況
バージョン:対応済みバージョン
  • V7.1: V7.11.08.03 以降
  • V8.41:V8.41.00.08 以降
  • V9.10:V9.10.00.04 以降
  • V9.11:V9.11.00.02 以降
  • V9.20:V9.20.00.01 以降
  • V9.21:V9.21.00.01 以降
  • 上記以外:パッチ公開未定のため回避方法を実施してください。

パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結をお願いします。

参考情報

Japan Vulnerability Notes JVN#14876762:
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

CVE-2014-0050:

更新情報

2016/07/08
WebOTX を更新しました。
2015/06/05
CSVIEW、WebOTXを登録しました。