Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が公開されています。
https://jvn.jp/jp/JVN89379547/
(CVE-2016-3092)
上記で公開されている内容について、弊社の対策として対応パッチを公開しました。
対象となるバージョンは、以下のようにアナウンスされています。
Apache Commons Fileupload 1.3 to 1.3.1
Apache Commons Fileupload 1.2 to 1.2.2
iWP/iAPとCommons Fileuploadのバージョンの関係は以下の通りです(パッチ適用有無で一部変わります)。
iAP 8.0.x -> Commons-Fileupload 1.2 / 1.2.2
iWP 7.2 -> Commons-Fileupload 1.2 / 1.2.2
iWP 7.1 -> Commons-Fileupload 1.2
iWP 7.0 -> Commons-Fileupload 1.2
iWP 6.1 -> Commons-Fileupload 1.1.1
iWP 6.0 -> Commons-Fileupload 1.0
弊社で検証した結果、iAPとiWP6.1~7.2の間で再現し、それ以前のバージョンでは発生しないことを確認しました。
○ご利用の製品がintra-mart AccelPlatformの場合
IM-Jugglingを利用し、対象となるパッチのダウンロードが可能です。
詳細はintra-mart AccelPlatform セットアップガイドの「モジュールのパッチ適用」を参照ください。
要件は以下で公開されています。
https://issue.intra-mart.jp/issues/23462
○ご利用の製品がintra-mart WebPlatform/AppFrameworkの場合
対応パッチを以下からダウンロードすることができます。
iWP 7.2: http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1336
iWP 7.1: http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1337
iWP 7.0: http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1338
iWP 6.1: http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1339
○パッチを適用する以外の回避策
パッチを適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。
・HTTP リクエストヘッダの大きさを制限する。
-- 対象 ------------------------------------------------------------------------
iWP/Webシステム構築基盤/WebPlatform/AppFramework
iAP/Accel Platform/全アップデート
--------------------------------------------------------------------------------
FAQID:727