本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
【重要なお知らせ】HULFT Series 製品における Apache Commons FileUploadの脆弱性について
===============================================================
HULFT Series 製品におけるApache Commons FileUploadの脆弱性(CVE-2016-3092)に
対する報告を以下にご案内いたします。
1.脆弱性の内容
Apache Commons FileUploadにおいて脆弱性が公表されました (CVE-2016-3092)。
細工されたリクエストを処理することで、対象サーバの CPU リソースが枯渇する
可能性があります。
Apache Commons FileUpload は、Apache が提供する複数の製品に使用されている
ため、HULFT Series 製品においては以下のApache製品が本脆弱性の影響を受ける
可能性があります。
Struts 1
Struts 2
<Apache Commons FileUpload の脆弱性に関する情報>
https://jvn.jp/jp/JVN89379547/index.html
2.調査状況
上記脆弱性についてHULFT Series製品における影響をご案内いたします。
<HULFT Series 製品 調査状況 - 2016年10月5日 9:00時点>
・HULFT
影響ありません。
・HULFT-BB
影響ありません。
・HULFT8 Script Option
影響ありません。
・HULFT-HUB
影響ありません。
・DataMagic
影響ありません。
・HULFT-クラウド
・HULFT-WebFT
Struts 2において影響があります。
以下の条件に該当する場合に影響があります。
・HULFT-クラウド Ver.1.0.0~Ver.1.6.0
・HULFT-WebFT Ver.2.0.0~Ver.2.2.0A
上記条件に該当する場合、以下の最新版のバージョンに
アップデートしてください。
・HULFT-クラウド Ver.1.0.0~Ver.1.6.0
・HULFT-WebFT Ver.2.0.0~Ver.2.2.0A
また、Webサーバの設定でHTTPリクエストサイズの大きさを制限
(上限2048byte)することで、本脆弱性の影響を軽減することが可能です。
(https://jvn.jp/jp/JVN89379547/index.html「ワークアラウンドを実施する」をご参照ください。)
・HULFT-WebConnect
影響ありません。
・HDC-EDI Suite
Struts 1において影響があります。
以下の条件に該当する場合に影響があります。
・HDC-EDI Manager Ver.2.0.0~Ver.2.5.3
上記条件に該当する場合、最新版のバージョン
Ver.2.6.0にアップデートしてください。
なお、HDC-EDI Manager Ver.2.6.0はHDC-EDI Base Ver.4.2.0以降に
対応するため、アップデートの際にはHDC-EDI BaseをVer.4.2.0以降に
アップデートしていただく必要があります。
・iDIVO
影響ありません。
・SIGNAlert
影響ありません。
当ご案内はHULFT.comにも掲載しております。
http://www.hulft.com/news/info/uploadfile/docs/information_20161006_2.pdf
