Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

掲載番号:NV16-018
脆弱性情報識別番号:JVN#89379547

概要

Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。

対象製品

CapsSuite

影響の有無

影響あり

本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。

対象となる製品のバージョン

  • V3.0~V5.1

対処方法

[対策]
お客様からのお問い合わせに対して、個別の対応とさせて頂きます。
詳細につきましては、弊社営業までお問い合わせください。

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

  • CSVIEW/FAQナビ:全バージョン

 

対処方法

[対策]
次のバージョンのリビジョンアップ媒体で対応完了しています。
  • CSVIEW/FAQナビ V5.5 リビジョンアップ媒体(V5.5.1)

リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
ESMPRO/ServerManager Ver 6.15 以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103524

[回避策]
アップデートまでは、下記設定でリクエストヘッダサイズを 2048 バイトにすることで回避することができます(初期設定では 4096 バイト)。

対象ファイル:
[ESMPRO/ServerManagerインストールフォルダ]\ESMWEB\wbserver\conf\server.xml

修正内容:
上記ファイルに下記情報を追記します。
<Connector port="21112" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"  maxHttpHeaderSize="2048" />

InfoCage セキュリティリスク管理

影響の有無

影響あり

本製品のマネージャが稼働するサーバで本脆弱性の影響を受けます。

対象となる製品のバージョン

  • V1.0~V1.0.6、V2.0~V2.1.1

対処方法

[対策]
最新バージョン(V2.1.2以降)のバージョンへのリビジョンアップをご検討ください。
詳細につきましては、弊社営業までお問い合わせください。

InfoFrame Relational Store

影響の有無

影響あり

管理コンソールを使用する場合に本脆弱性の影響を受けます。

対象となる製品のバージョン

  • 全てのバージョン

 

対処方法

[対策]
バージョンアップにて対応できます。
バージョンアップの詳細につきましては、弊社営業までお問い合わせください。

NEC Cyber Security Platform

影響の有無

影響あり

管理コンソール経由でサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
* 適切なユーザ管理が行われている環境では本脆弱性の影響を受ける可能性は低くなります。

 

対象となる製品のバージョン

  • NEC Cyber Security Platform V 1.0.1

 

対処方法

[対策]
NEC Cyber Security Platform V1.1.2 以降にアップデートしてください。
アップデートの詳細については弊社営業へお問い合わせください。

StarOffice X

影響の有無

影響あり

インターネットから直接アクセスできるようにシステムを構築されている場合、業務通達サービス、メールサービスに対するサービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対象となる製品のバージョン

  • StarOffice X Standard   V4.0, V5.0
  • StarOffice X Enterprise V4.0, V5.0

 

対処方法

[対策]
次のバージョンのオーバーライトモジュールで対応完了しています。

  • StarOffice X Apache Struts2 脆弱性対応モジュール P4.0.01.09 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.0.02.01 オーバーライト
  • StarOffice X Apache Struts2 脆弱性対応モジュール P5.1.00.01 オーバーライト

オーバーライトモジュールにつきましては、弊社営業にお問い合わせください。

[回避策]
StarOffice X の Web サーバのインターネットへの公開を停止してください。

WebOTX

影響の有無

影響あり

WebOTXの以下の機能でApache Commons FileUploadを使用しており、本脆弱性の影響を受ける可能性があります。
  • Web版統合運用管理コンソール(Ajax版)
  • Servlet 3.0 ファイルアップロード機能
  • WebOTX Portalが提供するメニューポートレット、お知らせポートレット

 

対象となる製品のバージョン

  • WebOTX Application Server Web Edition V8.1
  • WebOTX Application Server Standard-J Edition V8.1
  • WebOTX Developer V8.1
  • WebOTX Application Server Express V8.2~V9.4
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Developer(with Developer's Studio) V8.2~V9.4
  • WebOTX Portal V8.41~V9.3

 

対処方法

[対策]
・パッチを適用する(WebOTX Portal)。
パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010107278

・今後公開予定のパッチを適用する(WebOTX Portal以外)。
詳細は下記ページにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101775

[回避策]
内蔵 Web サーバ、外部 Web サーバのどちらを使用しているかで対処方法が変更となります。
詳細は下記ページにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101775

WebSAM SECUREMASTER

影響の有無

影響あり

「設定GUI」機能をご利用の場合に本脆弱性の影響を受けます。

対象となる製品のバージョン

  • SECUREMASTER/EnterpriseAccessManager 認証サーバ Version 8.0
  • SECUREMASTER/代行ログオンサーバ  Version 8.0
  • SECUREMASTER/フェデレーションSAML SPLite  Version 8.0
  • SECUREMASTER/クレデンシャルサーバ  Version 8.0
  • SECUREMASTER/WebAPI Version 8.0

対処方法

[対策]
「コンポーネント配備先/WEB-INF/lib」のApache Commons FileUploadをVersion 1.3.2にバージョンアップしてください。

参考情報

Japan Vulnerability Notes JVN#89379547:
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN89379547/

CVE-2016-3092:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092

更新情報

2018/03/23
WebOTX を更新しました。
2018/02/05
WebOTX を登録しました。
2017/11/08
InfoFrame Relational Store を登録しました。
2017/09/29
NEC Cyber Security Platform を登録しました。
2017/07/21
CSVIEW、StarOffice X を登録しました。
2017/01/31
ESMPRO/ServerManager を登録しました。
2016/10/31
WebSAM SECUREMASTER を登録しました。
2016/09/14
CapsSuite 、InfoCage セキュリティリスク管理を登録しました。