本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
【重要】HULFT クラウドの脆弱性に関するお知らせ
===============================================================
お客様各位
株式会社 セゾンテクノロジー
HULFT事業部
HULFT クラウドの脆弱性に関するお知らせ
拝啓 貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚く御礼申し上げます。
この度、HULFT クラウドにおいて、セキュリティ上の脆弱性に関する問題が発見され
ました。原因と内容、対処方法について下記の通りご案内申し上げますので、ご確認
の上、暫定モジュールの適用をお願いいたします。
敬具
- 記 -
1.対象製品
HULFTクラウドVer.1.0.0 ~Ver.1.4.0
2.脆弱性の原因と内容ついて
HULFT クラウドで使用しているWebアプリケーションフレームワーク
(Struts Ver.2.1.8.1)に下記の脆弱性が存在し、サーバ上で任意のコマンドが
実行される恐れがあります。
<Struts2の問題>
・S2-005 XWork ParameterInterceptors bypass allows remote command execution
http://struts.apache.org/development/2.x/docs/s2-005.html
・S2-008 Multiple critical vulnerabilities in Struts2
http://struts.apache.org/development/2.x/docs/s2-008.html
・S2-009 ParameterInterceptor vulnerability allows remote command execution
http://struts.apache.org/development/2.x/docs/s2-009.html
その他にも報告されている脆弱性がありますが、HULFT クラウドでは対象機能を使
用していないため、問題ございません。また、Struts Ver.2.1.8.1より前のバージョン
で発見された脆弱性に関しては、すでに修正済みのため、問題ございません。
3.対処方法
HULFT クラウドで使用しているStruts2に、脆弱性の対処を行ったモジュールを
6月25日にご提供いたします。
正式版につきましては、Ver.1.4.1(2013年9月リリース予定)で対応いたします。
4.モジュール提供方法
6月25日より弊社ホームページよりダウンロードが可能となります。
http://www.hulft.com/news/info/download/130625.html
5.修正モジュールの適用方法について
手順
以下の手順に従って脆弱性の対処を行ったモジュールを適用してください。
(1)Tomcatの停止
修正パッチを適用する間は、HULFT クラウドをデプロイしているTomcatは停止
してください。
Tomcatが動作している状態では、正常に修正パッチを適用することができません。
(2)HULFT クラウドのバックアップ
修正パッチ適用前に、HULFT クラウドのバックアップを行ってください。
バックアップの方法は、「HULFT クラウド 導入マニュアル」をご参照ください。
(3)修正パッチの適用
ダウンロードした、修正モジュール「struts2-core-2.1.8.1.jar」を以下の
フォルダに上書きコピーします。
Tomcatのインストールディレクトリ/webapps/webft/WEB-INF/lib
(4)Tomcatの起動
Tomcatの起動を行います。
(5)修正パッチ適用後の確認
疎通テストを行なって、通常通り動作することをご確認ください。疎通テスト方法
は、「HULFT クラウド 導入マニュアル」をご参照ください。
