IM-ScureSignOn for Accel Platform に関する脆弱性(CVE-2016-3092)について

【事象】
2016年6月に、 Apache Software Foundation が提供する Apache Commons FileUpload に対し、細工されたリクエストを処理することにより、結果的にサービス運用妨害 (DoS) を可能とする脆弱性(CVE-2016-3092) が発見されました。
IM-ScureSignOn for Accel Platform においても、 Apache Commons FileUpload を利用している製品がございますので、対処方法について説明します。

【対応方法】
1 Apache Tomcat の対応
  Web ラッパー管理ツールにて使用しているApache Tomcat が、本脆弱性の影響を受けるか確認し、1に応じてApache Tomcat のバージョンアップを行います。
 1.1 対応要否の判断
  (1) Web ラッパー4.5.0 以前
      Apache Tomcat 5.0.28 が同梱されております。
      同梱されているApache Tomcat のみを更新することはできませんので、脆弱性対応版のApache Tomcat をご用意いただき、Web ラッパーのバージョンアップにて対応を行います。
  
  (2) Web ラッパー4.6.0 以降
 Web ラッパーインストール時にご用意いただいたApache Tomcat を使用しております。
 インストール時にご用意いただいたApache Tomcat のバージョンをご確認頂き、Apache Tomcat 提供元が公開する情報にて、本脆弱性に該当するかご確認ください。

http://tomcat.apache.org/security.html

脆弱性に該当しないバージョンをご使用の場合は、Apache Tomcat の対応は不要です。
脆弱性に該当するバージョンをご使用の場合は、Apache Tomcat のみを更新することはできませんので、脆弱性対応版のApache Tomcat をご用意いただき、Web ラッパーの再インストール(バージョンアップ)にて対応を行います。
1.2 バージョンアップ
Apache Tomcat の対応が1である場合、Web ラッパーのバージョンアップ手順書を参考に、下記条件を満たすバージョンへ更新を行ってください。
Web ラッパー 4.6.0 以降
Apache Tomcat 本脆弱性対応バージョン
バージョンアップを行う際には、Web ラッパーが提供するサービスは停止します。
 2 Web ラッパー管理ツールの対応
Web ラッパー管理ツールが同梱するライブラリにApache Commons Fileupload が含まれますので、以下の手順にて対応を実施します。
 2.1 Web ラッパー管理ツールの停止
対象環境のWeb ラッパー管理ツールを停止します。
停止手順につきましては、Web ラッパーに付属の「Web ラッパーV4.x.x -インストール・設定マニュアル」の"5.1 Web ラッパー管理ツールの起動と停止"をご参照ください。
なお、Web ラッパー管理ツールを停止しても、Web ラッパーが提供するサービスは利用可能です。
 2.2 Apache Commons Fileupload の削除
 対象環境のWeb ラッパー管理ツールインストールディレクトリ配下の以下のファイルを削除します。
 【Windows の場合】
    {Web ラッパー管理ツールインストールディレクトリ}\WEB-INF\lib\commons-fileupload.jar

 【Unix の場合】
    {Web ラッパー管理ツールインストールディレクトリ}/WEB-INF/lib/commons-fileupload.jar
 2.3 Web ラッパー管理ツールの起動
対象環境のWeb ラッパー管理ツールを起動します。

-- 対象 ------------------------------------------------------------------------
iAP/Accel Extensions/IM-SecureSignOn for Accel Platform/全バージョン
--------------------------------------------------------------------------------

FAQID:615
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk