Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Apache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性

掲載番号:NV15-004
脆弱性情報識別番号:JVN#14876762

概要

Apache Commons FileUploadには、マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。

攻撃者によって細工されたリクエストを処理すると、対象のシステムを応答不能な状態にされる可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/FAQナビ：全バージョン

対処方法

[対策]

次のバージョンのリビジョンアップ媒体で対応完了しています。

CSVIEW/FAQナビ V5.3 リビジョンアップ媒体(V5.3.9)

リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java V8.1 以前

対処方法

[対策]

SystemDirector Enterprise V8.2で対応完了しています。
また、本問題を解消するための改修パッチも提供しています。
改修パッチを希望される方は、弊社営業にお問い合わせください。

[回避策]

リクエストヘッダの許容サイズを4KB以下としてください。

具体的な変更方法は利用いただいているWebサーバの種類により手順が異なるため、ご利用のWebサーバの手順をご確認ください。

WebOTXをご利用の場合は下記URLにある「リクエストヘッダの許容サイズ変更手順」を参照ください。

[WebOTX] Apache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050)について
https://www.support.nec.co.jp/View.aspx?id=3010100807

WebOTX

影響の有無

影響あり

(1)V8以前

Web版統合運用管理コンソールが本脆弱性の影響を受けます。
また、ユーザアプリケーション内に本脆弱性を含むApache Commons FileUploadがある場合も影響を受けます。

(2)V9.1/V9.2

利用中のWebアプリケーションが本脆弱性の影響を受けます。

対象となる製品のバージョン

(1)V8以前

WebOTX Web Edition V6.5
WebOTX Standard-J Edition V6.5
WebOTX Standard Edition V6.5
WebOTX Enterprise Edition V6.5
WebOTX UDDI Registry V1.1～V7.1
WebOTX 開発環境 V6.5
WebOTX Developer V7.1～V8.5
WebOTX Application Server Web Edition V7.1～V8.1
WebOTX Application Server Standard-J Edition V7.1～V8.1
WebOTX Application Server Standard Edition V7.1～V8.1
WebOTX Application Server Enterprise Edition V7.1～V8.1
WebOTX Application Server Express V8.2 ～ V8.5
WebOTX Application Server Foundation V8.2 ～ V8.5
WebOTX Application Server Standard V8.2 ～ V8.5
WebOTX Application Server Enterprise V8.2 ～ V8.5
WebOTX Enterprise Service Bus V8.2 ～ V8.5
WebOTX SIP Application Server Standard Edition V7.1～V8.1
WebOTX Portal V8.2～V8.4

(2)V9.1/V9.2

WebOTX Application Server Express V9.1～V9.2
WebOTX Application Server Standard V9.2
WebOTX Application Server Enterprise V9.2
WebOTX Portal V9.1
WebOTX Developer V9.1

(3)RFID Manager

RFID Manager V2.1/V7.1

対処方法

[回避策]

(1)V8以前

Web版統合運用管理コンソールの利用時のポート番号（デフォルト5858番）を外部からアクセスできないように制限することで回避してください。
また、ユーザアプリケーション内に本脆弱性を含むApache Commons FileUploadがある場合、リクエストヘッダの許容サイズを4KB以下としてください。

具体的な変更方法は以下URLの「リクエストヘッダの許容サイズ変更手順」を参照してください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010100807

(2)V9.1/V9.2

リクエストヘッダの許容サイズを4KB以下としてください。

具体的な変更方法は以下URLの「リクエストヘッダの許容サイズ変更手順」を参照してください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010100807

(3)RFID Manager

管理用WebUIのポート(28080)にアクセス可能なネットワークアドレスをOSのファイアウォール機能によって制限してください。

[対策]

(1)V8以前、(2)V9.1/V9.2

以下に記載している公開済みパッチモジュールを適用してください。
公開されていないバージョンについては回避方法を実施してください。

対処を行っているバージョンの公開状況
バージョン：対応済みバージョン