本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
【重要なお知らせ】HULFT Series 製品における Struts2の脆弱性に対する報告
===============================================================
HULFT Series 製品におけるStruts2の脆弱性(CVE-2016-4430)(CVE-2016-4433)
(CVE-2016-4431)に対する報告を以下にご案内いたします。
1.脆弱性の内容
Struts2において、脆弱性が公表されました(CVE-2016-4430)(CVE-2016-4433)
(CVE-2016-4431)。
遠隔の第三者によって、ユーザが意図しない操作をさせられたり、外部の URL に
リダイレクトされたり、細工されたデータを登録されたりする可能性があります。
<Struts2の脆弱性に関する情報>
https://jvn.jp/jp/JVN45093481/index.html
2.調査状況
上記脆弱性についてHULFT Series製品における影響をご案内いたします。
・HULFT
影響ありません。
・HULFT-script
影響ありません。
・HULFT-BB
影響ありません。
・HULFT-HUB
影響ありません。
・HULFT-DataMagic
影響ありません。
・HULFT-WebFT
HULFT-WebFT Ver.2.0.0~2.2.0Aに該当する場合、影響があります。
設定ファイルの修正で回避することが可能です。
設定ファイル(struts.xml)で、<struts>タグ内に以下の内容を追記。
-----
<constant name="struts.allowed.action.names" value="[a-zA-Z]*" />
-----
・HULFT-WebConnect
影響ありません。
・HDC-EDI Suite
影響ありません。
・iDIVO
影響ありません。
・SIGNAlert
影響ありません。
当ご案内はHULFT.comにも掲載しております。
http://www.hulft.com/news/info/uploadfile/docs/information_20160701.pdf