本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
【重要なお知らせ】HULFT Series 製品における Apache Commons FileUploadの脆弱性について
===============================================================
HULFT Series 製品におけるApache Commons FileUploadの脆弱性(CVE-2016-3092)に
対する報告を以下にご案内いたします。
1.脆弱性の内容
Apache Commons FileUploadにおいて脆弱性が公表されました (CVE-2016-3092)。
細工されたリクエストを処理することで、対象サーバの CPU リソースが枯渇する
可能性があります。
Apache Commons FileUpload は、Apache が提供する複数の製品に使用されている
ため、HULFT Series 製品においては以下のApache製品が本脆弱性の影響を受ける
可能性があります。
Struts 1
Struts 2
<Apache Commons FileUpload の脆弱性に関する情報>
https://jvn.jp/jp/JVN89379547/index.html
2.調査状況
上記脆弱性についてHULFT Series製品における影響をご案内いたします。
<HULFT Series 製品 調査状況 - 2016年7月13日 9:00時点>
・HULFT
影響ありません。
・HULFT-BB
影響ありません。
・HULFT8 Script Option
影響ありません。
・HULFT-HUB
影響ありません。
・DataMagic
影響ありません。
・HULFT-クラウド
・HULFT-WebFT
Struts 2において影響があります。
以下の条件に該当する場合に影響があります。
・HULFT-クラウド Ver.1.0.0~Ver.1.6.0
・HULFT-WebFT Ver.2.0.0~Ver.2.2.0A
現在、対応方法について調査中です。
また、Webサーバの設定でHTTPリクエストサイズの大きさを制限
(上限2048byte)することで、本脆弱性の影響を軽減することが可能です。
(https://jvn.jp/jp/JVN89379547/index.html「ワークアラウンドを実施する」をご参照ください。)
・HULFT-WebConnect
影響ありません。
・HDC-EDI Suite
Struts 1において影響があります。
以下の条件に該当する場合に影響があります。
・HDC-EDI Manager Ver.2.0.0~Ver.2.5.3
現在、対応方法について調査中です。
・iDIVO
影響ありません。
・SIGNAlert
影響ありません。
当ご案内はHULFT.comにも掲載しております。
http://www.hulft.com/news/info/uploadfile/docs/information_20160719_2.pdf