よくあるご質問

キーワードから探す

  • FAQ検索
  • ID検索

※スペースで区切って複数検索が可能です。

カテゴリで絞り込む

カテゴリから探す

ID:4509
作成日: 2023/08/22
[ILP共通]脆弱性情報について
脆弱性問題につきましては、できる限り迅速に対応しておりますがApache、Tomcatなどのように
頻繁にUpdateされるミドルウェア以外にも、OS自体のアップデートもあり、
それらに対し都度製品機能を隈なく正常に動作するかどうかを検証する必要があるため、
ミドルウェアの更新も製品アップデートのタイミングに合わせ、計画的に更新しております。
ご理解のほど、何卒よろしくお願いいたします。

-----------------------------------------------------------------------------------
■2023年08月29日
--------------------------------------------------------------------------------------
●CVE-2023-39417
https://www.postgresql.org/support/security/CVE-2023-39417/

  影響を受けるシステム:
  - PostgreSQL 14.0 - 14.8

  概要:
 InterSafe ILPでは拡張スクリプトを使用していないため、影響はございません。

-----------------------------------------------------------------------------------
■2023年03月10日
--------------------------------------------------------------------------------------
●CVE-2023-25690,CVE-2023-27522
https://jvn.jp/vu/JVNVU94155938/

  影響を受けるシステム:
  - Apache HTTP Server 2.4.0 - 2.4.55

  概要:
 The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.56が公開されました。
 ・mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
 ・mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題
 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
 ・攻撃者によって、プロキシサーバのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする
 ・攻撃者によって、クライアントに転送されるレスポンスが切り捨てられたり、分割されたりする

 情報漏洩対策シリーズにおける影響を受ける対象製品:
 ・InterSafe SecureDevice Standard     :  影響なし
 ・InterSafe SecureDevice Professional :  影響なし
 ・InterSafe ILP                       :  影響あり (※InterSafe ILP v7.50 - v8.20まで影響あり)

  回避策:
 後述の手順にてURLリダイレクトの設定を無効化してください。
 ※WorkFlowまたはFileTransporterを利用している、かつInterSafe Serverがv7.50以降でInterSafe Clientがv7.01.11以前の組み合わせで利用されている場合、
  URLリダイレクトの設定を無効化することで、InterSafe Clientアイコンを右クリックして「InterSafe WorkFlowの起動」を
  実施すると404エラーが出力されます。
  そのため予めInterSafe Clientをv7.50以降にアップデートしたうえで、URLリダイレクトの設定を無効化してください。

  ■手順
  1.httpd.confを下記の通り、コメントアウトします。
   ▼デフォルトパス
   C:\Program Files\Apache Software Foundation\Apache2.4\conf\httpd.conf
   ▼変更箇所
   (変更前)
   RewriteEngine on
   RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
   (変更後)
   #RewriteEngine on
   #RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
  2.Apache2.4のサービスを再起動する。

-----------------------------------------------------------------------------------
■2023年2月17日(2023年3月3日追記)
--------------------------------------------------------------------------------------
CVE-2006-20001,CVE-2022-36760,CVE-2022-37436
https://jvn.jp/vu/JVNVU99928083/

  影響を受けるシステム:
  - Apache HTTP Server 2.4.54およびそれ以前

  概要:
 The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。
 ・mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性
 ・mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性
 ・mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題
 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
 ・攻撃者によって、プロセスをクラッシュされる
 ・攻撃者によって、悪意のあるリクエストをAJPサーバに転送される
 ・悪意のあるバックエンドによって、レスポンスヘッダを切り捨てられる

  情報漏洩対策シリーズにおける影響を受ける対象製品:
 ・InterSafe SecureDevice Standard     :  影響なし
 ・InterSafe SecureDevice Professional :  影響なし
 ・InterSafe ILP                       :  影響あり (※InterSafe ILP v6.0 - v8.10.03まで影響あり)

  回避策:
  以下のバージョンよりApache HTTP Server 2.4.55を使用しておりますので、アップデートをお願いいたします。
  - v8.01.06 (2023年3月3日追記)
  - v8.10.04
  - v8.20.00 (2023年3月3日追記)
-----------------------------------------------------------------------------------
■2022年11月17日
--------------------------------------------------------------------------------------
●CVE-2022-42252
https://jvn.jp/vu/JVNVU93003913/

  影響を受けるシステム:
  - Apache Tomcat 8.5.0から8.5.82までのバージョン

  概要:
 Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)としている場合、
 無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという脆弱性が確認されています。
 Apache Tomcatは不正なヘッダを含むリクエストを拒否しないため、Apache Tomcatをリバースプロキシの背後に配備している場合、
 リクエストスマグリング攻撃が行われる可能性がございます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
 ・InterSafe SecureDevice Standard     :  影響なし
 ・InterSafe SecureDevice Professional :  影響なし
 ・InterSafe ILP                       :  影響あり (※InterSafe ILP v6.0 - v8.10まで影響あり)

  回避策:
  1.Apache, Tomcat の順にサービスを停止
  2.以下のファイルを編集し、Connectorタグ内にrejectIllegalHeader属性の値を追加
    (デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
    【変更前】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" />
    【変更後】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" rejectIllegalHeader="true"/>
  3.Tomcat, Apache の順にサービスを開始

-----------------------------------------------------------------------------------
■2022年10月6日(2022年10月7日修正)
--------------------------------------------------------------------------------------
●CVE-2021-43980
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43980

  影響を受けるシステム:
  - Apache Tomcat 8.5.0から8.5.77までのバージョン

  概要:
 InterSafe ILPではApache-Tomcatを連携しており、Apache-Tomcat間ではHttp1.1ではなく、
 AJP1.3のプロトコルを使用してるため、本脆弱性に該当いたしません。

(補足)
2022年10月6日時点では「影響あり」と記載しておりましたが、
ILPの機能としては影響ないことが確認できましたので、脆弱性に該当しない旨、記載を修正しております。

-----------------------------------------------------------------------------------
■2022年7月19日
--------------------------------------------------------------------------------------
●CVE-2022-34305
https://jvn.jp/vu/JVNVU92304549/

  影響を受けるシステム:
  ※本脆弱性はApache Tomcatの「examples」をインストールしている場合にのみ影響があります。
   InterSafe ILPのインストーラーはデフォルトではApache Tomcatの「examples」はインストールしませんので、
   影響はありません。
  - Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン
  - Apache Tomcat 10.0.0-M1から10.0.22までのバージョン
  - Apache Tomcat 9.0.30から9.0.64までのバージョン
  - Apache Tomcat 8.5.50から8.5.81までのバージョン

  概要:
 Apache Tomcat のexamplesにクロスサイトスクリプティングの脆弱性が確認されています。
   この脆弱性が悪用された場合、当該サンプルを使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響あり

  回避策:
  ※InterSafe ILPのインストール時にApache Tomcatの「examples」のチェックを選択し、
   インストールしている場合は以下対応方法を実施してください。
  1.Apache, Tomcat の順にサービスを停止
  2.以下のフォルダを削除
    ・Tomcat 8.5\webapps\examples
    ・Tomcat 8.5\work\Catalina\localhost\examples
  3.Tomcat, Apache の順にサービスを開始
 ※サービス停止時は、オフラインログイン機能にて一部機能がご利用いただけます。
  詳細は、以下FAQをご参照ください。

--------------------------------------------------------------------------------------
■2022年4月4日
--------------------------------------------------------------------------------------
●CVE-2022-22965
https://www.jpcert.or.jp/newsflash/2022040101.html

  影響を受けるシステム:
     - Spring Framework 5.2.0から5.2.19
     - Spring Framework 5.3.0から5.3.17

概要:
InterSafe ILPでは Spring Framework を使用していないため、影響はございません。

--------------------------------------------------------------------------------------
■2021年12月17日
--------------------------------------------------------------------------------------
●CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

  影響を受けるシステム:
     - JMSAppenderを使用するApache Log4j 1.2

概要:
InterSafe ILPでは log4j の JMSAppender を使用していないため、影響はございません。


--------------------------------------------------------------------------------------
■2021年12月13日
--------------------------------------------------------------------------------------
●CVE-2021-44228
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

  影響を受けるシステム:
     - Apache Log4j 2.15.0 より前の 2 系のバージョン

概要:
InterSafe ILPではApache Log4j v1.2.17 を使用しております。
問題となっている外部への参照を行うモジュール(Lookup機能)は含まれていないため
影響はございません。

--------------------------------------------------------------------------------------

■2020年5月19日
--------------------------------------------------------------------------------------
  ●CVE-2020-1967
  https://www.ipa.go.jp/security/ciadr/vul/alert20200423.html

  影響を受けるシステム:
     - OpenSSL 1.1.1d、1.1.1e および 1.1.1f
     
  概要:
 SSL および TLS の機能を提供する OpenSSL において、サービス運用妨害(DoS)の
  脆弱性が確認されています。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし
  ※本脆弱性はTLS1.3に限定された脆弱性になります。
    InterSafe ILPではTLS1.2までしか使用していないため、本脆弱性の影響はございません。

     
 ILPではTLS1.3での接続はおこなっておりませんが、
 接続の受け口となるapacheにてTLS1.3を除外いただく形で今回の脆弱性対策となります。
 apacheのTLSv1.3無効化手順は下記の通りです。

 ■手順
 1.httpd-ssl.confを下記の通り修正する。

  ▼デフォルトパス
  C:\Program Files\Apache Software Foundation\Apache2.4\conf\extra\httpd-ssl.conf

  ▼変更箇所
  (変更前)
  SSLProtocol all -SSLv3
  SSLProxyProtocol all -SSLv3
  (変更後)
  SSLProtocol all -SSLv3 -TLSv1.3
  SSLProxyProtocol all -SSLv3 -TLSv1.3

 2.Apache2.4のサービスを再起動する。

--------------------------------------------------------------------------------------
■2020年2月25日(2020年2月27日追記)
--------------------------------------------------------------------------------------
●CVE-2020-1938
  https://www.ipa.go.jp/security/ciadr/vul/alert20200225.html

  対象のモジュール:
    Apache Tomcat 7.0.0 から 7.0.99
    Apache Tomcat 8.5.0 から 8.5.50
    Apache Tomcat 8.5.0 から 8.5.50

  概要:
 Apache Tomcat において、意図しないファイルを読み込んでしまう脆弱性が確認されています。
  この脆弱性が悪用された場合、悪意のある第三者が AJP(Apache JServ Protocol)リクエストを
 送信し、Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる
 可能性があります。

 同社からはすでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があること
 がアナウンスされているため、できるだけ早急に以下の修正を実施してください。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり
 

 回避策:
  1.Apache, Tomcat の順にサービスを停止
  2.以下のファイルを編集
    (デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
   【変更前】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>
   【変更後】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="localhost"/>
  3.Tomcat, Apache の順にサービスを開始
 ※サービス停止時は、オフラインログイン機能にて一部機能がご利用いただけます。
  詳細は、以下FAQをご参照ください。
--------------------------------------------------------------------------------------

■2019年7月17日(2019年8月2日追記)
--------------------------------------------------------------------------------------
●CVE-2019-7317
  https://www.ipa.go.jp/security/ciadr/vul/20190717-jre.html

  対象のモジュール:
    Oracle Java SE 12.0.1
    Oracle Java SE 11.0.3
    Oracle Java SE 8 Update 212
    Oracle Java SE Embedded 8 Update 211
    Oracle Java SE 7 Update 221

  概要:
  Oracle 社が提供する Java SE には脆弱性が存在し、攻撃者に悪用されると、
  任意のコード(命令)が実行され、コンピュータを制御されるおそれがあります。
  同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、
  できるだけ早急に修正プログラムを適用してください。
  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし

 ※ ILPでは サンドボックス化されたJava Web Startアプリケーションまたは
  サンドボックス化されたJavaアプレット(Java SE 8) を使用していないため、いずれも影響ありません。

--------------------------------------------------------------------------------------

■2018年11月1日(2018年11月7日追記)
--------------------------------------------------------------------------------------
  https://jvn.jp/vu/JVNVU99875465/

  対象のモジュール:
     - Apache Tomcat JK mod_jk Connector 1.2.0 から 1.2.44 まで
    
  概要:
   Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセス
   との対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に
   処理できない場合があります。
  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし

 ※ ILPでは mod_jk Connector を使用していないため、いずれも影響ありません。

--------------------------------------------------------------------------------------
■2018年8月23日(2018年8月29日追記)
--------------------------------------------------------------------------------------
●CVE-2018-11776(S2-057)
  https://www.jpcert.or.jp/at/2018/at180036.html

  対象のApache Struts リリース:
     - Apache Struts 2
     - 2.3 系列 2.3.35 より前のバージョン
     - 2.5 系列 2.5.17 より前のバージョン
  概要:
   遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2
 が動作するサーバにおいて、任意のコードが実行する可能性があります。
  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし

 ※ ILPではApache Struts 2使用していないため、いずれも影響ありません。

--------------------------------------------------------------------------------------
■2018年7月23日(2018年7月27日追記)
--------------------------------------------------------------------------------------
●CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037
  https://www.jpcert.or.jp/at/2018/at180030.html

  対象のTomcatリリース:
    - CVE-2018-1336
      - Apache Tomcat 9.0.0.M9 から 9.0.7
      - Apache Tomcat 8.5.0 から 8.5.30
      - Apache Tomcat 8.0.0.RC1 から 8.0.51
      - Apache Tomcat 7.0.28 から 7.0.86
    - CVE-2018-8034
      - Apache Tomcat 9.0.0.M1 から 9.0.9
      - Apache Tomcat 8.5.0 から 8.5.31
      - Apache Tomcat 8.0.0.RC1 から 8.0.52
      - Apache Tomcat 7.0.35 から 7.0.88
    - CVE-2018-8037
      - Apache Tomcat 9.0.0.M9 から 9.0.9
      - Apache Tomcat 8.5.5 から 8.5.31
  概要:
   各脆弱性について、それぞれ以下の可能性があります。
 ・サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
 ・既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
 ・中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)
  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし
 ※ いずれもILPでは使用していません。

--------------------------------------------------------------------------------------
■2017年9月25日(2017年10月11日更新)
--------------------------------------------------------------------------------------

●CVE-2017-12615 、 CVE-2017-12616および CVE-2017-12617
  https://www.jpcert.or.jp/at/2017/at170038.html

  対象のTomcatリリース:
    - CVE-2017-12615
      - Apache Tomcat 7.0.0 から 7.0.79
    - CVE-2017-12616
      - Apache Tomcat 7.0.0 から 7.0.80

    - CVE-2017-12617
      - Apache Tomcat 9.0.0.M1 から 9.0.0
      - Apache Tomcat 8.5.0 から 8.5.22
      - Apache Tomcat 8.0.0.RC1 から 8.0.46
      - Apache Tomcat 7.0.0 から 7.0.81

  概要:
   Windows で利用している Apache Tomcatにおいて、readonly パラメータをfalse に
   設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエスト
   を受けることで、遠隔から任意のコードが実行される可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし

  ※ いずれもreadonly パラメータは使用していませんので、true(デフォルト値)
     で動作しています。
--------------------------------------------------------------------------------------
■2017年6月07日(2017年6月14日追記)
--------------------------------------------------------------------------------------
●CVE-2017-5664
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.43
    Apache Tomcat 7.0.0 to 7.0.77

  概要:
   細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる
   可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。


●CVE-2017-5647
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.42
    Apache Tomcat 7.0.0 to 7.0.76

  概要:
    NIO(Non-Blocking I/O)を利用してファイルをクライアントに送信する時
    別のリクエストで要求したファイルを誤送信してしまう可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。


●CVE-2017-5648
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.42
    Apache Tomcat 7.0.0 to 7.0.76

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  概要:
    Tomcat上でILP以外のWebアプリケーションを配備した際に
    そのWebアプリケーションからILPの情報にアクセス出来る可能性があります。

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。


●CVE-2017-5650
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650

  脆弱性の影響はございません。


●CVE-2017-5651
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651

  脆弱性の影響はございません。

--------------------------------------------------------------------------------------
■2014年6月5日(2014年6月9日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0224
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

●CVE-2014-0224
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

●CVE-2014-0221
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221

●CVE-2014-0195
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195

●CVE-2014-0198
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198

●CVE-2010-5298
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298

●CVE-2014-3470
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470

  これらの脆弱性による影響はございません。

--------------------------------------------------------------------------------------
■2014年6月2日(2014年6月2日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0075 Denial of Service
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    チャンク化リクエストの一部に奇形のチャンクサイズを技巧することにより、
    無制限のデータをサーバに流し込むことで、サイズ制限をバイパスして
    リクエストを強制することができてしまいます。
    これによりサービス拒否が引き起こされてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP v1.0.0~v4.00.02          :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0096 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    デフォルトのサーブレットではWebアプリケーションは
    ディレクトリ一覧をフォーマットするためのXSLTを定義できます。
    セキュリティマネージャの下で実行しているとき、これらはWeb
    アプリケーションとは異なるサブジェクトで実行可能です。
    これによりこれにより悪意のあるWebアプリケーションは外部の
    XMLエンティティを利用してセキュリティマネージャによる制限を
    適用することで通常のファイルアクセス制限をバイパスできてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0099 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    リクエストのコンテンツ長のヘッダーをパースするコードが
    オーバーフローをチェックしていません。これによりTomcatが
    コンテンツ長のヘッダーを正しく処理するリバースプロキシーの
    後に配置されたときにリクエスト密輸の脆弱性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0119 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    ある制限された状況下では、デフォルトのサーブレット、
    JSPドキュメント、タグライブラリデスクリプタ(TLD)
    およびタグプラグイン構成ファイルのためのXSLT処理を行う
    Tomcatにより利用されるXMLパーサを、悪意のあるWebアプリ
    ケーションは置き換えてしまうことが可能です。
    注入されたXMLパーサはXML外部エンティティに対して制限を
    バイパスできてしまい、これにより同一Tomcatインスタンス上に
    デプロイされた他のWebアプリケーションのために処理されている
    XMLファイルが表示できてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。

--------------------------------------------------------------------------------------
■2014年4月28日(2014年4月28日追記)
--------------------------------------------------------------------------------------
1. Apache Struts2/Apache Struts1 の脆弱性(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)(CVE-2016-3081)(CVE-2017-5638)
   下記製品ではStruts  を使用していませんので、影響はありません。

    DocumentSecurity
    InterSafe SecureDevive
    InterSafe DeviceControl
    InterSafe WorkFlow
    InterSafe IRM

2. Open-SSL脆弱性(Heartbleed Bug/CVE-2014-0160)※対象バージョンはOpenSSL 1.0.1 から 1.0.1f (inclusive)
   以下製品では当該バージョンを使用していませんので、影響はありません。

   DocumentSecurity
   InterSafe SecureDevive
   InterSafe DeviceControl
   InterSafe WorkFlow
   InterSafe IRM

3. POODLE(Padding Oracle On Downgraded Legacy Encryption)

   ILPServerの通信プロトコルはデフォルト設定でHTTPですので、デフォルトの
   ままご利用されている場合は、影響がありませんが、HTTPSプロトコル
   を使用されている場合は本脆弱性の影響があります。

   該当されるお客様は、以下の手順でSSLv3の利用を停止してください。

   3-1. SSLv3停止方法
      3-1-1.設定ファイルを以下のように「-SSLv3」を追加します。

        {apache2.2インストール先(※)}\conf\extra\httpd-ssl.conf
        -----------------------------------
        # SSL Protocol support:
        SSLProtocol all -SSLv2 -SSLv3
        -----------------------------------
       ※デフォルト:C:\Program Files (x86)\Apache Software Foundation\Apache2.2\

      3-1-2.apache2.2サービスを再起動すれば終了です。


   3-2. SSLv3.0を無効化したことで、ILPServerへ接続できなくなった場合は
        ブラウザのオプション設定にてTLS 1.0 を有効にしてください。

      3-2-1. TLSの設定
        IE はデフォルトで有効になっていますが、
        「ツール」⇒「インターネットオプション」⇒「詳細設定」
        タブにて「TLS 1.0 を使用する」にチェックを入れて下さい。

      3-2-2. 終了です。


     【対象製品】
      InterSafe SecureDevive Ultimate
         (Standard版及びProfessional版には影響はありません。)
      InterSafe DeviceControl
      InterSafe WorkFlow
      InterSafe IRM
      InterSafe SecurePDF

--------------------------------------------------------------------------------------

対象バージョン
 
対象ビルド
 
一般情報
この内容は参考になりましたか?
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
Page Top