本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
【重要なお知らせ】HULFT Series 製品における Apache Commons FileUploadの脆弱性について
===============================================================
HULFT Series 製品におけるApache Commons FileUploadの脆弱性(CVE-2016-3092)に
対する報告を以下にご案内いたします。
1.脆弱性の内容
Apache Commons FileUploadにおいて脆弱性が公表されました (CVE-2016-3092)。
細工されたリクエストを処理することで、対象サーバの CPU リソースが枯渇する
可能性があります。
Apache Commons FileUpload は、Apache が提供する複数の製品に使用されている
ため、HULFT Series 製品においては以下のApache製品が本脆弱性の影響を受ける
可能性があります。
Struts 1
Struts 2
Apache Commons FileUpload
<Apache Commons FileUpload の脆弱性に関する情報>
https://jvn.jp/jp/JVN89379547/index.html
2.調査状況
上記脆弱性についてHULFT Series製品における影響をご案内いたします。
<HULFT Series 製品 調査状況 - 2017年1月30日 9:00時点>
・HULFT
影響ありません。
・HULFT-BB
影響ありません。
・HULFT8 Script Option
影響ありません。
・HULFT-HUB
影響ありません。
・DataMagic
影響ありません。
・HULFT-クラウド
・HULFT-WebFT
Struts 2において影響があります。
以下の条件に該当する場合に影響があります。
・HULFT-クラウド Ver.1.0.0~Ver.1.6.0
・HULFT-WebFT Ver.2.0.0~Ver.2.2.0A
上記条件に該当する場合、以下の最新版のバージョンに
アップデートしてください。
・HULFT-クラウド Ver.1.0.0~Ver.1.6.0
・HULFT-WebFT Ver.2.0.0~Ver.2.2.0A
また、Webサーバの設定でHTTPリクエストサイズの大きさを制限
(上限2048byte)することで、本脆弱性の影響を軽減することが可能です。
(https://jvn.jp/jp/JVN89379547/index.html「ワークアラウンドを実施する」をご参照ください。)
・HULFT-WebConnect
影響ありません。
・HDC-EDI Suite
[1]Apache Commons FileUploadにおいて影響があります。
以下の条件に該当する場合に影響があります。
・HDC-EDI Base Ver.4.5.0 未満
上記条件に該当する場合に「EDIINT-AS2相手先証明書アップロード」および
「CPAファイルアップロード」の機能で影響があります。
最新版のバージョンVer.4.5.0にアップデートしてください。
[2]Struts 1において影響があります。
以下の条件に該当する場合に影響があります。
・HDC-EDI Manager Ver.2.0.0~Ver.2.5.3
上記条件に該当する場合、最新版のバージョン
Ver.2.6.0にアップデートしてください。
なお、HDC-EDI Manager Ver.2.6.0はHDC-EDI Base Ver.4.2.0以降に
対応するため、アップデートの際にはHDC-EDI BaseをVer.4.2.0以降に
アップデートしていただく必要があります。
・iDIVO
影響ありません。
・SIGNAlert
影響ありません。
当ご案内はHULFT.comにも掲載しております。
https://www.hulft.com/application/files/8314/8591/0958/information_20160719_2.pdf