本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
==============================================================
HULFT クラウドの脆弱性に関するお知らせ
==============================================================
HULFT クラウドにおいて、セキュリティの脆弱性に関する問題が発見されました。
対応方法について以下のとおりご案内申し上げますので、ご確認の上、
適用をお願いいたします。
1.対象製品
HULFT クラウド Ver.1.0.0 ~ Ver.1.5.0
2.脆弱性の原因と内容について
HULFT クラウドで使用しているWebアプリケーションフレームワーク(Struts2)に
おいてApache Commons FileUploadに下記の脆弱性が存在し、
サービス運用妨害(DoS)攻撃を受ける恐れがあります。
<Apache Commons FileUploadの問題>
・Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140007.html
3.対応方法
本脆弱性を修正したApache Commons FileUploadが公開されておりますので、
「4. 最新版のApache Commons FileUploadの適用方法について」をご参照の上、
ご対応をお願い申し上げます。
4.最新版のApache Commons FileUploadの適用方法について
4.1. Apache Tomcatをご利用の場合
以下の手順に従って脆弱性の対処を行った最新版のApache Commons FileUploadを
適用してください。
※コンテキスト名をwebft以外に変更している場合はディレクトリ名を
読み替えてください。
(1)最新版のApache Commons FileUploadのダウンロード
下記URLより、最新版のApache Commons FileUploadをダウンロードしてください。
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
※2014/02/17時点での最新版は1.3.1です。
(2)Tomcatの停止
最新版のApache Commons FileUploadを適用する間は、HULFT クラウドを
デプロイしているTomcatは停止してください。
Tomcatが動作している状態では、正常に最新版のApache Commons FileUploadを
適用することができません。
(3)HULFT クラウドのバックアップ
最新版のApache Commons FileUpload適用前に、HULFT クラウドのバックアップを
行ってください。バックアップの方法は、「HULFT クラウド 導入マニュアル」を
ご参照ください。
(4)旧版Apache Commons FileUploadの削除
旧版のApache Commons FileUploadを以下のフォルダから削除します。
Tomcatのインストールディレクトリ/webapps/webft/WEB-INF/lib
※旧版のApache Commons FileUploadは下記のファイル名です。
commons-fileupload-1.2.1.jarまたは、commons-fileupload-1.3.jar
(5)最新版のApache Commons FileUploadの適用
最新版のApache Commons FileUploadを以下のフォルダに格納します。
Tomcatのインストールディレクトリ/webapps/webft/WEB-INF/lib
※最新版のApache Commons FileUploadは下記のファイル名です。
commons-fileupload-1.3.1.jar
(6)Tomcatの起動
Tomcatの起動を行います。
(7)最新版のApache Commons FileUpload適用後の確認
疎通テストを行なって、通常通り動作することをご確認ください。
疎通テスト方法は、「HULFT クラウド 導入マニュアル」をご参照ください。
4.2. IBM WebSphere Application Serverをご利用の場合
以下の手順に従って脆弱性の対処を行った最新版のApache Commons FileUploadを
適用してください。
※コンテキスト名をwebft以外に変更している場合はディレクトリ名を読み替えてください。
(1)最新版のApache Commons FileUploadのダウンロード
下記URLより、最新版のApache Commons FileUploadをダウンロードしてください。
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
※2014/02/17時点での最新版は1.3.1です。
(2)IBM WebSphere Application Serverの停止
最新版のApache Commons FileUploadを適用する間は、HULFT クラウドを
デプロイしているIBM WebSphere Application Serverを停止してください。
IBM WebSphere Application Serverが動作している状態では、正常に最新版の
Apache Commons FileUploadを適用することができません。
(3)HULFT クラウドのバックアップ
修正パッチ適用前に、HULFT クラウドのバックアップを行ってください。
バックアップの方法は、「HULFT クラウド 導入マニュアル」をご参照ください。
(4)旧版Apache Commons FileUploadの削除
旧版のApache Commons FileUploadを以下のフォルダから削除します。
WebSphereのインストールディレクトリ/サーバ名/profiles/プロファイル名/
デプロイ先/webft.ear/webft.war/WEB-INF/lib
※旧版のApache Commons FileUploadは下記のファイル名です。
commons-fileupload-1.2.1.jarまたは、commons-fileupload-1.3.jar
(5)最新版のApache Commons FileUploadの適用
旧版のApache Commons FileUploadを以下のフォルダに格納します。
WebSphereのインストールディレクトリ/サーバ名/profiles/プロファイル名/
デプロイ先/webft.ear/webft.war/WEB-INF/lib
※最新版のApache Commons FileUploadは下記のファイル名です。
commons-fileupload-1.3.1.jar
(6)IBM WebSphere Application Serverの起動
IBM WebSphere Application Serverの起動を行います。
(7)最新版のApache Commons FileUpload適用後の確認
疎通テストを行なって、通常通り動作することをご確認ください。
疎通テスト方法は、「HULFT クラウド 導入マニュアル」をご参照ください。
5.製品の対応
最新版のApache Commons FileUpload を適用した
HULFT クラウド(2014年7月リリース予定)をご提供いたします。
