HULFT Technical Support & FAQ

【重要なお知らせ】HULFT Series 製品における Struts2の脆弱性に対する報告

本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。

===============================================================
 【重要なお知らせ】HULFT Series 製品における Struts2の脆弱性に対する報告
===============================================================

HULFT Series 製品におけるStruts2の脆弱性(CVE-2016-4430)(CVE-2016-4433)
(CVE-2016-4431)に対する報告を以下にご案内いたします。


1.脆弱性の内容

 Struts2において、脆弱性が公表されました(CVE-2016-4430)(CVE-2016-4433)
 (CVE-2016-4431)。
 遠隔の第三者によって、ユーザが意図しない操作をさせられたり、外部の URL に
 リダイレクトされたり、細工されたデータを登録されたりする可能性があります。

 <Struts2の脆弱性に関する情報>
 https://jvn.jp/jp/JVN45093481/index.html

2.調査状況

 上記脆弱性についてHULFT Series製品における影響をご案内いたします。

 ・HULFT
   影響ありません。
 ・HULFT-script
   影響ありません。
 ・HULFT-BB
   影響ありません。
 ・HULFT-HUB
   影響ありません。 
 ・HULFT-DataMagic
   影響ありません。
 ・HULFT-WebFT
   HULFT-WebFT Ver.2.0.0~2.2.0Aに該当する場合、影響があります。
   設定ファイルの修正で回避することが可能です。
   設定ファイル(struts.xml)で、<struts>タグ内に以下の内容を追記。
   -----
    <constant name="struts.allowed.action.names" value="[a-zA-Z]*" />
   -----

 ・HULFT-WebConnect
   影響ありません。
 ・HDC-EDI Suite
   影響ありません。
 ・iDIVO
   影響ありません。
 ・SIGNAlert
   影響ありません。

 当ご案内はHULFT.comにも掲載しております。
 http://www.hulft.com/news/info/uploadfile/docs/information_20160701.pdf

ページトップへ

                                        以上

---------------------------------------------------------------------
■ HULFTホームページ
https://www.hulft.com/

■ HULFTテクニカルサポートサイト
 =>[HULFTホームページ]→[技術サポート専用サイト]

 ※HULFTテクニカルサポートサイトはログインの際、製品のシリアル番号が必要です。

■ HULFT技術情報メール配信停止 及び 配信先の変更
 ↓myHULFTご利用のお客様はこちらから↓
  [HULFTホームページ]→[myHULFT]ログイン後
  =>「個人設定」→「プロファイル」
 ※予め新しくメール配信先となるお客様の、myHULFTへのユーザ登録が必要です。

 =>[ライセンス]→[新規登録]

 ※サポート締結済みシリアルNo.をご登録ください。

■個人情報保護方針その他当社の情報保護への取組みについて
http://www.saison-technology.com/privacy/index.html
---------------------------------------------------------------------