Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

掲載番号:NV16-018
脆弱性情報識別番号:JVN#89379547

概要

Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。

対象製品

CapsSuite

影響の有無

影響あり

本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。

対象となる製品のバージョン

  • V3.0~V5.1

対処方法

[対策]
お客様からのお問い合わせに対して、個別の対応とさせて頂きます。
詳細につきましては、弊社営業までお問い合わせください。

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

  • CSVIEW/FAQナビ:全バージョン

 

対処方法

[対策]
次のバージョンのリビジョンアップ媒体で対応完了しています。
  • CSVIEW/FAQナビ V5.5 リビジョンアップ媒体(V5.5.1)

リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
ESMPRO/ServerManager Ver 6.15 以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103524

[回避策]
アップデートまでは、下記設定でリクエストヘッダサイズを 2048 バイトにすることで回避することができます(初期設定では 4096 バイト)。

対象ファイル:
[ESMPRO/ServerManagerインストールフォルダ]\ESMWEB\wbserver\conf\server.xml

修正内容:
上記ファイルに下記情報を追記します。
<Connector port="21112" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"  maxHttpHeaderSize="2048" />

InfoCage セキュリティリスク管理

影響の有無

影響あり

本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。

対象となる製品のバージョン

  • V1.0~V1.0.6、V2.0~V2.1.1

対処方法

[対策]
最新バージョン(V2.1.2以降)のバージョンへのリビジョンアップをご検討ください。
詳細につきましては、弊社営業までお問い合わせください。

InfoFrame Relational Store

影響の有無

影響あり

管理コンソールを使用する場合に本脆弱性の影響を受けます。

対象となる製品のバージョン

  • 全てのバージョン

 

対処方法

[対策]
バージョンアップにて対応できます。
バージョンアップの詳細につきましては、弊社営業までお問い合わせください。

NEC Cyber Security Platform

影響の有無

影響あり

管理コンソール経由でサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
* 適切なユーザ管理が行われている環境では本脆弱性の影響を受ける可能性は低くなります。

 

対象となる製品のバージョン

  • NEC Cyber Security Platform V 1.0.1

 

対処方法

[対策]
NEC Cyber Security Platform V1.1.2 以降にアップデートしてください。
アップデートの詳細については弊社営業へお問い合わせください。

StarOffice X

影響の有無

影響あり

インターネットから直接アクセスできるようにシステムを構築されている場合、業務通達サービス、メールサービスに対するサービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対象となる製品のバージョン

  • StarOffice X Standard   V4.0, V5.0
  • StarOffice X Enterprise V4.0, V5.0

 

対処方法

[対策]
次のバージョンのオーバーライトモジュールで対応完了しています。

  • StarOffice X Apache Struts2 脆弱性対応モジュール P4.0.01.09 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.0.02.01 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.1.00.01 オーバーライト

オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。

[回避策]
StarOffice X の Web サーバのインターネットへの公開を停止してください。

WebSAM SECUREMASTER

影響の有無

影響あり

「設定GUI」機能をご利用の場合に本脆弱性の影響を受けます。

対象となる製品のバージョン

  • SECUREMASTER/EnterpriseAccessManager 認証サーバ Version 8.0
  • SECUREMASTER/代行ログオンサーバ  Version 8.0
  • SECUREMASTER/フェデレーションSAML SPLite  Version 8.0
  • SECUREMASTER/クレデンシャルサーバ  Version 8.0
  • SECUREMASTER/WebAPI Version 8.0

対処方法

[対策]
「コンポーネント配備先/WEB-INF/lib」のApache Commons FileUploadをVersion 1.3.2にバージョンアップしてください。

参考情報

Japan Vulnerability Notes JVN#89379547:
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN89379547/

CVE-2016-3092:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092

参考情報

2017/11/08
InfoFrame Relational Store を登録しました。
2017/09/29
NEC Cyber Security Platform を登録しました。
2017/07/21
CSVIEW、StarOffice X を登録しました。
2017/01/31
ESMPRO/ServerManager を登録しました。
2016/10/31
WebSAM SECUREMASTER を登録しました。
2016/09/14
CapsSuite 、InfoCage セキュリティリスク管理を登録しました。