アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
よく検索されるキーワード
FAQ
タイトル
[ILP共通]脆弱性情報について
No.4509  日付:2017-09-27 09:30:00

回答

--------------------------------------------------------------------------------------
■2017年9月25日(2017年10月11日更新)
--------------------------------------------------------------------------------------
●CVE-2017-12615 、 CVE-2017-12616および CVE-2017-12617
  https://www.jpcert.or.jp/at/2017/at170038.html

  対象のTomcatリリース:
    - CVE-2017-12615
      - Apache Tomcat 7.0.0 から 7.0.79
    - CVE-2017-12616
      - Apache Tomcat 7.0.0 から 7.0.80

    - CVE-2017-12617
      - Apache Tomcat 9.0.0.M1 から 9.0.0
      - Apache Tomcat 8.5.0 から 8.5.22
      - Apache Tomcat 8.0.0.RC1 から 8.0.46
      - Apache Tomcat 7.0.0 から 7.0.81

  概要:
   Windows で利用している Apache Tomcatにおいて、readonly パラメータをfalse に
   設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエスト
   を受けることで、遠隔から任意のコードが実行される可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響なし
    ・InterSafe ILP                       :  影響なし

  ※ いずれもreadonly パラメータは使用していませんので、true(デフォルト値)
     で動作しています。
--------------------------------------------------------------------------------------
■2017年6月07日(2017年6月14日追記)
--------------------------------------------------------------------------------------
●CVE-2017-5664
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.43
    Apache Tomcat 7.0.0 to 7.0.77

  概要:
   細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる
   可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。


●CVE-2017-5647
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.42
    Apache Tomcat 7.0.0 to 7.0.76

  概要:
    NIO(Non-Blocking I/O)を利用してファイルをクライアントに送信する時
    別のリクエストで要求したファイルを誤送信してしまう可能性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。


●CVE-2017-5648
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648

  対象のTomcatリリース:
    Apache Tomcat 8.0.0.RC1 to 8.0.42
    Apache Tomcat 7.0.0 to 7.0.76

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP                       :  影響あり

  概要:
    Tomcat上でILP以外のWebアプリケーションを配備した際に
    そのWebアプリケーションからILPの情報にアクセス出来る可能性があります。

  回避策:
    添付の資料に沿ってApache Tomcat をバージョンアップしてください。


●CVE-2017-5650
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650

  脆弱性の影響はございません。


●CVE-2017-5651
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651

  脆弱性の影響はございません。

--------------------------------------------------------------------------------------
■2014年6月5日(2014年6月9日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0224
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

●CVE-2014-0224
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

●CVE-2014-0221
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221

●CVE-2014-0195
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195

●CVE-2014-0198
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198

●CVE-2010-5298
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298

●CVE-2014-3470
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470

  これらの脆弱性による影響はございません。

--------------------------------------------------------------------------------------
■2014年6月2日(2014年6月2日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0075 Denial of Service
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    チャンク化リクエストの一部に奇形のチャンクサイズを技巧することにより、
    無制限のデータをサーバに流し込むことで、サイズ制限をバイパスして
    リクエストを強制することができてしまいます。
    これによりサービス拒否が引き起こされてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP v1.0.0~v4.00.02          :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0096 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    デフォルトのサーブレットではWebアプリケーションは
    ディレクトリ一覧をフォーマットするためのXSLTを定義できます。
    セキュリティマネージャの下で実行しているとき、これらはWeb
    アプリケーションとは異なるサブジェクトで実行可能です。
    これによりこれにより悪意のあるWebアプリケーションは外部の
    XMLエンティティを利用してセキュリティマネージャによる制限を
    適用することで通常のファイルアクセス制限をバイパスできてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0099 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    リクエストのコンテンツ長のヘッダーをパースするコードが
    オーバーフローをチェックしていません。これによりTomcatが
    コンテンツ長のヘッダーを正しく処理するリバースプロキシーの
    後に配置されたときにリクエスト密輸の脆弱性があります。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。


●CVE-2014-0119 Information Disclosure
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119

  対象のTomcatリリース:
    Apache Tomcat 8.0.0-RC1 to 8.0.3
    Apache Tomcat 7.0.0 to 7.0.52
    Apache Tomcat 6.0.0 to 6.0.39

  概要:
    ある制限された状況下では、デフォルトのサーブレット、
    JSPドキュメント、タグライブラリデスクリプタ(TLD)
    およびタグプラグイン構成ファイルのためのXSLT処理を行う
    Tomcatにより利用されるXMLパーサを、悪意のあるWebアプリ
    ケーションは置き換えてしまうことが可能です。
    注入されたXMLパーサはXML外部エンティティに対して制限を
    バイパスできてしまい、これにより同一Tomcatインスタンス上に
    デプロイされた他のWebアプリケーションのために処理されている
    XMLファイルが表示できてしまいます。

  情報漏洩対策シリーズにおける影響を受ける対象製品:
    ・InterSafe SecureDevice Standard     :  影響なし
    ・InterSafe SecureDevice Professional :  影響あり
    ・InterSafe ILP  v1.0.0~v4.00.02         :  影響あり

  回避策:
    添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
    InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。

--------------------------------------------------------------------------------------
■2014年4月28日(2014年4月28日追記)
--------------------------------------------------------------------------------------
1. Apache Struts2/Apache Struts1 の脆弱性(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)(CVE-2016-3081)(CVE-2017-5638)
   下記製品ではStruts  を使用していませんので、影響はありません。

    DocumentSecurity
    InterSafe SecureDevive
    InterSafe DeviceControl
    InterSafe WorkFlow
    InterSafe IRM

2. Open-SSL脆弱性(Heartbleed Bug/CVE-2014-0160)※対象バージョンはOpenSSL 1.0.1 から 1.0.1f (inclusive)
   以下製品では当該バージョンを使用していませんので、影響はありません。

   DocumentSecurity
   InterSafe SecureDevive
   InterSafe DeviceControl
   InterSafe WorkFlow
   InterSafe IRM

3. POODLE(Padding Oracle On Downgraded Legacy Encryption)

   ILPServerの通信プロトコルはデフォルト設定でHTTPですので、デフォルトの
   ままご利用されている場合は、影響がありませんが、HTTPSプロトコル
   を使用されている場合は本脆弱性の影響があります。

   該当されるお客様は、以下の手順でSSLv3の利用を停止してください。

   3-1. SSLv3停止方法
      3-1-1.設定ファイルを以下のように「-SSLv3」を追加します。

        {apache2.2インストール先(※)}\conf\extra\httpd-ssl.conf
        -----------------------------------
        # SSL Protocol support:
        SSLProtocol all -SSLv2 -SSLv3
        -----------------------------------
       ※デフォルト:C:\Program Files (x86)\Apache Software Foundation\Apache2.2\

      3-1-2.apache2.2サービスを再起動すれば終了です。


   3-2. SSLv3.0を無効化したことで、ILPServerへ接続できなくなった場合は
        ブラウザのオプション設定にてTLS 1.0 を有効にしてください。

      3-2-1. TLSの設定
        IE はデフォルトで有効になっていますが、
        「ツール」⇒「インターネットオプション」⇒「詳細設定」
        タブにて「TLS 1.0 を使用する」にチェックを入れて下さい。

      3-2-2. 終了です。


     【対象製品】
      InterSafe SecureDevive Ultimate
         (Standard版及びProfessional版には影響はありません。)
      InterSafe DeviceControl
      InterSafe WorkFlow
      InterSafe IRM
      InterSafe SecurePDF

--------------------------------------------------------------------------------------

対象製品 InterSafe SecureDevice, InterSafe IRM, InterSafe DeviceControl
対象バージョン   対象ビルド  
添付ファイル InterSafeミドルウエア更新手順_20170614.pdf
一般情報
アンケートにご協力ください