本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
iDIVO Manager Service の脆弱性に関するお知らせ
===============================================================
iDIVO Manager Serviceにおいて、セキュリティに関する問題が発見されました。
対応方法について以下のとおりご案内申し上げますので、ご確認の上、
適用をお願いいたします。
1.対象製品
iDIVO Manager Service Ver.1.0.0 ~ 1.5.1
2.脆弱性の原因と内容について
iDIVO Manager Serviceで使用しているTomcatにおいてApache Commons FileUploadに
下記の脆弱性が存在し、サービス運用妨害(DoS)攻撃を受ける恐れがあります。
詳細は下記の情報をご参照ください。
<Apache Commons FileUploadの問題>
・Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140007.html
3.対応方法
本脆弱性を修正したApache Commons FileUploadが公開されておりますので、
「4.最新版のApache Commons FileUploadの適用方法について」をご参照の上、
ご対応をお願い申し上げます。
4.最新版のApache Commons FileUploadの適用方法について
以下の手順に従って脆弱性の対処を行った最新版のApache Commons FileUploadを
適用してください。
(1)最新版のApache Commons FileUploadのダウンロード
下記URLより、最新版のApache Commons FileUploadをダウンロードしてください。
※2014/02/17時点での最新版は1.3.1です。
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
(2)iDIVO Manager Serviceの停止
iDIVO Manager Serviceを停止してください。iDIVO Manager Serviceが
動作している状態では、正常に最新版のApache Commons FileUploadを
適用することができません。
(3)iDIVO Manager Serviceのバックアップ
最新版のApache Commons FileUpload適用前にバックアップを行ってください。
バックアップの方法は、「導入ガイド(Manager)」をご参照ください。
(4)旧版Apache Commons FileUploadの削除
旧版のApache Commons FileUploadである以下のファイルを削除します。
~/tomcatX.X/webapps/ManagerService/WEB-INF/lib/commons-fileupload-1.2.jar
~/tomcatX.X/webapps/ManagerClient/WEB-INF/lib/commons-fileupload-1.2.2.jar
(5)最新版のApache Commons FileUploadの適用
最新版のApache Commons FileUploadを以下のファイルに配置します。
~/tomcatX.X/webapps/ManagerService/WEB-INF/lib/commons-fileupload-1.3.1.jar
~/tomcatX.X/webapps/ManagerClient/WEB-INF/lib/commons-fileupload-1.3.1.jar
(6)iDIVO Manager Serviceの起動
iDIVO Manager Serviceの起動を行います。
(7)最新版のApache Commons FileUpload適用後の確認
通常通り動作することをご確認ください。
5.製品の対応
最新版のApache Commons FileUpload を適用したiDIVO Manager Serviceを
次期リリースバージョンにてご提供いたします。
