Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起に対する弊社対応について、下記URLより公開されている内容に関し、対応パッチを公開しました。
https://www.jpcert.or.jp/at/2014/at140007.html
(CVE-2014-0050)
詳細は次の通りです。
対象となるバージョンは1.0 ~ 1.3とアナウンスされていますが、弊社での確認では、1.2.2 ~ 1.3の間で再現し、それ以前のバージョンでは発生しません。
iWP/iAPとCommons Fileuploadのバージョンの関係は以下の通りです(パッチ適用有無で一部変わります)。
iAP 8.0.x -> Commons-Fileupload 1.2 / 1.2.2
iWP 7.2 -> Commons-Fileupload 1.2.2 / 1.2
iWP 7.1 -> Commons-Fileupload 1.2
iWP 7.0 -> Commons-Fileupload 1.2
iWP 6.1 -> Commons-Fileupload 1.1.1
iWP 6.0 -> Commons-Fileupload 1.0
iAP:https://issue.intra-mart.jp/issues/4370
※パッチ適用対象となる Commons-Fileupload 1.2.2は、2013 Winter(8.0.6)のみです。
iWP:http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1173
※パッチ適用対象となる Commons-FileUpload 1.2.2は、WebPlatform/AppFramework 7.2 Patch06以降です。
※必ず、commons-fileupload-1.2.2.jar を利用している場合にのみ差し替えてください。
commons-fileupload-1.2.jar を利用している環境で差し替えた場合正常に動作しません。
-- 対象 ------------------------------------------------------------------------
iWP/Webシステム構築基盤/WebPlatform/AppFramework
iAP/Accel Platform/2013 Winter
--------------------------------------------------------------------------------
FAQID:710
Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起について、intra-mart製品の対応方針について教えてください。