本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
┏┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗■ <<改訂>>HULFT Series 製品における Struts2の脆弱性について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2017年3月13日にご案内いたしました「HULFT Series 製品における
Struts2の脆弱性(CVE-2017-5638)に対する報告」の内容を、下記の通り改訂させていただきます。
■改訂内容
・下記製品の調査状況を更新しました。
HULFT クラウド (Ver.1)
HULFT-WebFT (Ver.2)
HULFT-WebFileTransfer (Ver.3)
■改訂後の全文
上記改訂内容を反映した全文は以下の通りです。
HULFT Series 製品におけるStruts2の脆弱性(CVE-2017-5638)に対する報告をご案内いたします。
1.脆弱性の内容
Struts2において、脆弱性が公表されました (CVE-2017-5638)。遠隔の
第三者によって、サーバ上で任意のコードを実行される可能性があります。
<Struts2の脆弱性に関する情報>
▼Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
▼Apache Struts org
以下のサイトから、「CVE-2017-5638」を検索してください。
▼National Vulnerability Database
2.調査状況
上記脆弱性についてHULFT Series製品における影響をご案内いたします。
<HULFT Series製品 調査状況 – 2017年3月16日 9:00時点>
・HULFT
影響ありません。
・HULFT-BB
影響ありません。
・HULFT8 Script Option
影響ありません。
・HULFT IoT
影響ありません。
・HULFT-HUB
影響ありません。
・HULFT-DataMagic(Ver.1,2)
・DataMagic(Ver.3)
影響ありません。
・HULFT クラウド (Ver.1)
・HULFT-WebFT (Ver.2)
・HULFT-WebFileTransfer (Ver.3)
以下の条件に該当する場合に影響があります。
・HULFT-クラウド Ver.1.4.0A~Ver.1.6.0B
・HULFT-WebFT Ver.2.0.0~Ver.2.2.0C
・HULFT-WebFileTransfer Ver.3.0.0~Ver.3.0.0B
現在、対応方法について調査中です。
また本脆弱性の影響を軽減するために、以下の回避策をご検討ください。
「サーブレットフィルタ、WAF(Web Application Firewall)などを使用して、
「Content-Type」に"ognl.OgnlContext "が含まれている場合、リクエストを遮断する」
・HULFT-WebConnect
影響ありません。
・HDC-EDI Suite
影響ありません。
・iDIVO
影響ありません。
・SIGNAlert
影響ありません。
当ご案内はHULFT.comにも掲載しております。
https://www.hulft.com/application/files/2314/8971/2930/information_20170314.pdf
