タイトル |
脆弱性に関する情報(CVE-2014-0094 およびCVE-2014-0112、CVE-2014-0113、CVE-2014-0114)
No.4503 日付:2017-04-04 15:00:00
|
回答 |
弊社のWebフィルタリング製品では、Apache Struts1を利用している 製品がございます。
Apache Struts1を利用しているWebフィルタリング製品 ・InterSafe WebFilter ・InterSafe CATS ※Apache Struts2 は使用していません
現在公開されている Apache Struts2 の脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113)は対応済みです。
対策について Apache Struts1を利用しているWebフィルタリング製品 ・InterSafe WebFilter 2014年6月11日にリリースしたプログラム(Build0870)にて対応しました。 ・InterSafe CATS 2014年5月1日のメンテナンスにて対応しました。 ※Apache Struts2 は使用していません
弊社調査にて、類似の脆弱性(CVE-2014-0114)を悪用する事で、 管理サービスの停止ができる事を確認できておりますが、 情報漏えいとなるような脅威は確認できておりません。
対策について ・InterSafe WebFilter 2014年6月11日にリリースしたプログラム(Build0870)にて対応しました。 ・InterSafe CATS 2014年5月1日のメンテナンスにて対応しました。
※InterSafe WebFilter について、本脆弱性は、管理画面をインターネットに 公開していない場合には殆ど影響はありません。 また、管理画面へのアクセスを制限することでも脆弱性の影響は低くなります。 管理画面へのアクセス制限については、 No.3881 管理画面にアクセスできない場合のトラブルシューティング の5-1.を参照ください。 ※v8.5の次回のリリースへのバージョンアップが困難な場合の回避策は、 IPAのページにありますように「脆弱性の回避策 - WAF や IPS の利用」が 該当致しますので、こちらをご参照ください。 http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
下記のWebフィルタリング製品については、Apache Strutsを 利用していないためApache Struts2 の脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113)は該当しません。
・InterSafe LogDirector ・InterSafe Cache※ ・ビジネスブラウザ ・ビジネススマートセキュリティ ・サイトアンパイア ・悪質サイトブロック ファミリースマイル ・ファミリーブラウザ ・LogLyzer ・InterSafe Personal ・その他弊社が提供するOEM製品
※InterSafe Cacheは該当しませんが、同時に利用される InterSafe WebFilterは該当します。
|
対象製品 |
InterSafe WebFilter, InterSafe Personal, InterSafe Cache, InterSafe LogDirector, InterSafe CATS |
一般情報
このFAQを閲覧したユーザーはこんなFAQも閲覧しています
|