アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
よく検索されるキーワード
カテゴリ検索
FAQ
タイトル
[InterSafe ILP]脆弱性情報について
No.4509  日付:2017-06-14 14:30:00

回答

--------------------------------------------------------------------------------------
■2017年6月07日(2017年6月14日追記)
--------------------------------------------------------------------------------------
●CVE-2017-5664
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.43
    Apache Tomcat 7.0.0 to 7.0.77

  概要:
   細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる
   可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。

●CVE-2017-5647
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.42
    Apache Tomcat 7.0.0 to 7.0.76

  概要:
    NIO(Non-Blocking I/O)を利用してファイルをクライアントに送信する時
    別のリクエストで要求したファイルを誤送信してしまう可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。

●CVE-2017-5648
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.42
    Apache Tomcat 7.0.0 to 7.0.76

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  概要:
    Tomcat上でILP以外のWebアプリケーションを配備した際に
    そのWebアプリケーションからILPの情報にアクセス出来る可能性があります。

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。

●CVE-2017-5650
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650

  脆弱性の影響はございません。

●CVE-2017-5651
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651

  脆弱性の影響はございません。

--------------------------------------------------------------------------------------
■2014年6月5日(2014年6月9日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0224
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

●CVE-2014-0224
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

●CVE-2014-0221
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221

●CVE-2014-0195
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195

●CVE-2014-0198
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198

●CVE-2010-5298
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298

●CVE-2014-3470
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470

  これらの脆弱性による影響はございません。

--------------------------------------------------------------------------------------
■2014年6月2日
--------------------------------------------------------------------------------------
●CVE-2014-0075 Denial of Service
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    チャンク化リクエストの一部に奇形のチャンクサイズを技巧することにより、
    無制限のデータをサーバに流し込むことで、サイズ制限をバイパスして
    リクエストを強制することができてしまいます。
    これによりサービス拒否が引き起こされてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP v1.0.0~v4.00.02          :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0096 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    デフォルトのサーブレットではWebアプリケーションは
    ディレクトリ一覧をフォーマットするためのXSLTを定義できます。
    セキュリティマネージャの下で実行しているとき、これらはWeb
    アプリケーションとは異なるサブジェクトで実行可能です。
    これによりこれにより悪意のあるWebアプリケーションは外部の
    XMLエンティティを利用してセキュリティマネージャによる制限を
    適用することで通常のファイルアクセス制限をバイパスできてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0099 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    リクエストのコンテンツ長のヘッダーをパースするコードが
    オーバーフローをチェックしていません。これによりTomcatが
    コンテンツ長のヘッダーを正しく処理するリバースプロキシーの
    後に配置されたときにリクエスト密輸の脆弱性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0119 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    ある制限された状況下では、デフォルトのサーブレット、
    JSPドキュメント、タグライブラリデスクリプタ(TLD)
    およびタグプラグイン構成ファイルのためのXSLT処理を行う
    Tomcatにより利用されるXMLパーサを、悪意のあるWebアプリ
    ケーションは置き換えてしまうことが可能です。
    注入されたXMLパーサはXML外部エンティティに対して制限を
    バイパスできてしまい、これにより同一Tomcatインスタンス上に
    デプロイされた他のWebアプリケーションのために処理されている
    XMLファイルが表示できてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。

--------------------------------------------------------------------------------------

対象製品 InterSafe SecureDevice, InterSafe IRM, InterSafe DeviceControl
対象バージョン   対象ビルド  
添付ファイル InterSafeミドルウエア更新手順_20170614.pdf
一般情報
アンケートにご協力ください