本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
【重要】HULFT クラウドの脆弱性に関するお知らせ
===============================================================
お客様各位
株式会社 セゾンテクノロジー
HULFT事業部
HULFT クラウドの脆弱性に関するお知らせ
拝啓
貴社ますますご清祥のこととお慶び申し上げます。平素は格別のご高配を賜り、
厚く御礼申し上げます。このたび、HULFT クラウドにおいて、セキュリティの脆弱性に
関する新たな問題が発見されました。回避策について下記のとおりご案内申し上げます
ので、ご確認の上、適用をお願いいたします。
敬具
- 記 -
1.対象製品
HULFTクラウド Ver.1.0.0~Ver.1.4.0
2.脆弱性の原因と内容ついて
HULFT クラウドで使用しているWebアプリケーションフレームワーク(Struts Ver.
2.1.8.1)に下記の脆弱性が存在し、サーバ上で任意のコマンドが実行される恐れ
があります。
<Struts2の問題>
・S2-016 - A vulnerability introduced by manipulating parameters prefixed
with "action:"/"redirect:"/"redirectAction:" allows remote command
execution
http://struts.apache.org/release/2.3.x/docs/s2-016.html
・S2-017 - A vulnerability introduced by manipulating parameters prefixed
with "redirect:"/"redirectAction:" allows for open redirects
http://struts.apache.org/release/2.3.x/docs/s2-017.html
3.回避策
Webサーバで下記のプレフィックスを含んだリクエストを拒否する設定を
行うことで、脆弱性を防ぐことが可能です。
action:
redirect:
redirectAction:
※Apache2.2での設定例
(1)mod_rewrite.soモジュールの有効化
httpd.confを編集し、下記行のコメントを外してください。
LoadModule rewrite_module modules/mod_rewrite.so
(2)脆弱性の原因となるプレフィックスを含んだリクエストの拒否設定
httpd.confに下記の内容を追記します。
“webft”の箇所は実際のコンテキスト名に置き換えてください。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} action:
RewriteRule ^/webft/.* [F]
RewriteCond %{QUERY_STRING} redirect:
RewriteRule ^/webft/.* [F]
RewriteCond %{QUERY_STRING} redirectAction:
RewriteRule ^/webft/.* [F]
</IfModule>
(3)Apacheの再起動
Apacheの再起動を行います。
4.製品の対応
脆弱性の対処を行ったHULFT クラウド(2013年9月リリース予定)を
ご提供いたします。
