Japan
サイト内の現在位置を表示しています。
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
掲載番号:NV16-018
脆弱性情報識別番号:JVN#89379547
概要
Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。
対象製品
CapsSuite
影響の有無
影響あり
本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。
本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。
対象となる製品のバージョン
- V3.0~V5.1
対処方法
[対策]
お客様からのお問い合わせに対して、個別の対応とさせて頂きます。
詳細につきましては、弊社営業までお問い合わせください。
詳細につきましては、弊社営業までお問い合わせください。
CSVIEW
影響の有無
影響あり
対象となる製品のバージョン
- CSVIEW/FAQナビ:全バージョン
対処方法
[対策]
次のバージョンのリビジョンアップ媒体で対応完了しています。
リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。
- CSVIEW/FAQナビ V5.5 リビジョンアップ媒体(V5.5.1)
リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
- 全バージョン
対処方法
[対策]
ESMPRO/ServerManager Ver 6.15 以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103524
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103524
[回避策]
アップデートまでは、下記設定でリクエストヘッダサイズを 2048 バイトにすることで回避することができます(初期設定では 4096 バイト)。
対象ファイル:
修正内容:
対象ファイル:
|
[ESMPRO/ServerManagerインストールフォルダ]\ESMWEB\wbserver\conf\server.xml |
修正内容:
上記ファイルに下記情報を追記します。
|
<Connector port="21112" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" maxHttpHeaderSize="2048" /> |
InfoCage セキュリティリスク管理
影響の有無
影響あり
本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。
本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。
対象となる製品のバージョン
- V1.0~V1.0.6、V2.0~V2.1.1
対処方法
[対策]
最新バージョン(V2.1.2以降)のバージョンへのリビジョンアップをご検討ください。
詳細につきましては、弊社営業までお問い合わせください。
詳細につきましては、弊社営業までお問い合わせください。
InfoFrame Relational Store
影響の有無
影響あり
管理コンソールを使用する場合に本脆弱性の影響を受けます。
管理コンソールを使用する場合に本脆弱性の影響を受けます。
対象となる製品のバージョン
- 全てのバージョン
対処方法
[対策]
バージョンアップにて対応できます。
バージョンアップの詳細につきましては、弊社営業までお問い合わせください。
バージョンアップの詳細につきましては、弊社営業までお問い合わせください。
NEC Cyber Security Platform
影響の有無
影響あり
管理コンソール経由でサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
* 適切なユーザ管理が行われている環境では本脆弱性の影響を受ける可能性は低くなります。
管理コンソール経由でサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
* 適切なユーザ管理が行われている環境では本脆弱性の影響を受ける可能性は低くなります。
対象となる製品のバージョン
- NEC Cyber Security Platform V 1.0.1
対処方法
[対策]
NEC Cyber Security Platform V1.1.2 以降にアップデートしてください。
アップデートの詳細については弊社営業へお問い合わせください。
アップデートの詳細については弊社営業へお問い合わせください。
StarOffice X
影響の有無
影響あり
インターネットから直接アクセスできるようにシステムを構築されている場合、業務通達サービス、メールサービスに対するサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
インターネットから直接アクセスできるようにシステムを構築されている場合、業務通達サービス、メールサービスに対するサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対象となる製品のバージョン
- StarOffice X Standard V4.0, V5.0
- StarOffice X Enterprise V4.0, V5.0
対処方法
[対策]
次のバージョンのオーバーライトモジュールで対応完了しています。
オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。
- StarOffice X Apache Struts2 脆弱性対応モジュール P4.0.01.09 オーバーライト
- StarOffice X Apache Struts2 脆弱性対応モジュール P5.0.02.01 オーバーライト
- StarOffice X Apache Struts2 脆弱性対応モジュール P5.1.00.01 オーバーライト
オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。
[回避策]
StarOffice X の Web サーバのインターネットへの公開を停止してください。
WebOTX
影響の有無
影響あり
WebOTXの以下の機能でApache Commons FileUploadを使用しており、本脆弱性の影響を受ける可能性があります。
WebOTXの以下の機能でApache Commons FileUploadを使用しており、本脆弱性の影響を受ける可能性があります。
- Web版統合運用管理コンソール(Ajax版)
- Servlet 3.0 ファイルアップロード機能
- WebOTX Portalが提供するメニューポートレット、お知らせポートレット
対象となる製品のバージョン
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Developer V8.1
- WebOTX Application Server Express V8.2~V9.4
- WebOTX Application Server Standard V8.2~V9.4
- WebOTX Application Server Enterprise V8.2~V9.4
- WebOTX Developer(with Developer's Studio) V8.2~V9.4
- WebOTX Portal V8.41~V9.3
対処方法
[対策]
・パッチを適用する(WebOTX Portal)。
パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010107278
パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010107278
・今後公開予定のパッチを適用する(WebOTX Portal以外)。
詳細は下記ページにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101775
詳細は下記ページにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101775
[回避策]
内蔵 Web サーバ、外部 Web サーバのどちらを使用しているかで対処方法が変更となります。
詳細は下記ページにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101775
詳細は下記ページにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101775
WebSAM SECUREMASTER
影響の有無
影響あり
「設定GUI」機能をご利用の場合に本脆弱性の影響を受けます。
「設定GUI」機能をご利用の場合に本脆弱性の影響を受けます。
対象となる製品のバージョン
- SECUREMASTER/EnterpriseAccessManager 認証サーバ Version 8.0
- SECUREMASTER/代行ログオンサーバ Version 8.0
- SECUREMASTER/フェデレーションSAML SPLite Version 8.0
- SECUREMASTER/クレデンシャルサーバ Version 8.0
- SECUREMASTER/WebAPI Version 8.0
対処方法
[対策]
「コンポーネント配備先/WEB-INF/lib」のApache Commons FileUploadをVersion 1.3.2にバージョンアップしてください。
iStorage HSシリーズ
影響の有無
影響あり
対象となる製品のバージョン
- iStorage HSシリーズ Version:V4.4~V5.2
対処方法
[対策]
V5.5以降にバージョンアップしてください。
アップデートの詳細については弊社営業へお問い合わせください。
アップデートの詳細については弊社営業へお問い合わせください。
参考情報
Japan Vulnerability Notes JVN#89379547:
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN89379547/
CVE-2016-3092:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
更新情報
- 2019/10/25
- 2018/03/23
- 2018/02/05
- 2017/11/08
- 2017/09/29
- 2017/07/21
- 2017/01/31
- 2016/10/31
- 2016/09/14