よくあるご質問
キーワードから探す
- FAQ検索
- ID検索
カテゴリから探す
- よくあるご質問
- 詳細
頻繁にUpdateされるミドルウェア以外にも、OS自体のアップデートもあり、
それらに対し都度製品機能を隈なく正常に動作するかどうかを検証する必要があるため、
ミドルウェアの更新も製品アップデートのタイミングに合わせ、計画的に更新しております。
ご理解のほど、何卒よろしくお願いいたします。
-----------------------------------------------------------------------------------
■2024年06月24日
--------------------------------------------------------------------------------------
●CVE-2024-23672、CVE-2024-24549
https://jvn.jp/vu/JVNVU99626420/
影響を受けるシステム:
概要:
InterSafe ILPではWebSocket、Http/2を使用していないため、影響はございません。
●CVE-2023-24998
https://jvn.jp/vu/JVNVU91253151/
影響を受けるシステム:
概要:
InterSafe ILPではApache Tomcatのファイルアップロード機能を使用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2023年08月29日
--------------------------------------------------------------------------------------
●CVE-2023-39417
https://www.postgresql.org/support/security/CVE-2023-39417/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.8
概要:
InterSafe ILPでは拡張スクリプトを使用していないため、影響はございません。
-----------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
●CVE-2023-25690,CVE-2023-27522
https://jvn.jp/vu/JVNVU94155938/
影響を受けるシステム:
- Apache HTTP Server 2.4.0 - 2.4.55
概要:
・mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
・mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
・攻撃者によって、プロキシサーバのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする
・攻撃者によって、クライアントに転送されるレスポンスが切り捨てられたり、分割されたりする
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v7.50 - v8.20まで影響あり)
回避策:
後述の手順にてURLリダイレクトの設定を無効化してください。
※WorkFlowまたはFileTransporterを利用している、かつInterSafe Serverがv7.50以降でInterSafe Clientがv7.01.11以前の組み合わせで利用されている場合、
URLリダイレクトの設定を無効化することで、InterSafe Clientアイコンを右クリックして「InterSafe WorkFlowの起動」を
実施すると404エラーが出力されます。
そのため予めInterSafe Clientをv7.50以降にアップデートしたうえで、URLリダイレクトの設定を無効化してください。
■手順
1.httpd.confを下記の通り、コメントアウトします。
▼デフォルトパス
C:\Program Files\Apache Software Foundation\Apache2.4\conf\httpd.conf
▼変更箇所
(変更前)
RewriteEngine on
RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
(変更後)
#RewriteEngine on
#RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
2.Apache2.4のサービスを再起動する。
-----------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
●CVE-2006-20001,CVE-2022-36760,CVE-2022-37436
https://jvn.jp/vu/JVNVU99928083/
影響を受けるシステム:
- Apache HTTP Server 2.4.54およびそれ以前
概要:
・mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性
・mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性
・mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
・攻撃者によって、プロセスをクラッシュされる
・攻撃者によって、悪意のあるリクエストをAJPサーバに転送される
・悪意のあるバックエンドによって、レスポンスヘッダを切り捨てられる
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v6.0 - v8.10.03まで影響あり)
回避策:
以下のバージョンよりApache HTTP Server 2.4.55を使用しておりますので、アップデートをお願いいたします。
- v8.01.06 (2023年3月3日追記)
- v8.10.04
- v8.20.00 (2023年3月3日追記)
■2022年11月17日
--------------------------------------------------------------------------------------
●CVE-2022-42252
https://jvn.jp/vu/JVNVU93003913/
影響を受けるシステム:
- Apache Tomcat 8.5.0から8.5.82までのバージョン
概要:
無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという脆弱性が確認されています。
Apache Tomcatは不正なヘッダを含むリクエストを拒否しないため、Apache Tomcatをリバースプロキシの背後に配備している場合、
リクエストスマグリング攻撃が行われる可能性がございます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v6.0 - v8.10まで影響あり)
回避策:
1.Apache, Tomcat の順にサービスを停止
2.以下のファイルを編集し、Connectorタグ内にrejectIllegalHeader属性の値を追加
(デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
【変更前】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" />
【変更後】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" rejectIllegalHeader="true"/>
3.Tomcat, Apache の順にサービスを開始
-----------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
●CVE-2021-43980
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43980
影響を受けるシステム:
- Apache Tomcat 8.5.0から8.5.77までのバージョン
概要:
■2022年7月19日
--------------------------------------------------------------------------------------
●CVE-2022-34305
https://jvn.jp/vu/JVNVU92304549/
影響を受けるシステム:
※本脆弱性はApache Tomcatの「examples」をインストールしている場合にのみ影響があります。
InterSafe ILPのインストーラーはデフォルトではApache Tomcatの「examples」はインストールしませんので、
影響はありません。
- Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.22までのバージョン
- Apache Tomcat 9.0.30から9.0.64までのバージョン
- Apache Tomcat 8.5.50から8.5.81までのバージョン
概要:
Apache Tomcat のexamplesにクロスサイトスクリプティングの脆弱性が確認されています。
この脆弱性が悪用された場合、当該サンプルを使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり
※InterSafe ILPのインストール時にApache Tomcatの「examples」のチェックを選択し、
インストールしている場合は以下対応方法を実施してください。
1.Apache, Tomcat の順にサービスを停止
2.以下のフォルダを削除
・Tomcat 8.5\webapps\examples
・Tomcat 8.5\work\Catalina\localhost\examples
詳細は、以下FAQをご参照ください。
--------------------------------------------------------------------------------------
■2022年4月4日
--------------------------------------------------------------------------------------
●CVE-2022-22965
https://www.jpcert.or.jp/newsflash/2022040101.html
影響を受けるシステム:
- Spring Framework 5.2.0から5.2.19
- Spring Framework 5.3.0から5.3.17
概要:
InterSafe ILPでは Spring Framework を使用していないため、影響はございません。
--------------------------------------------------------------------------------------
■2021年12月17日
--------------------------------------------------------------------------------------
●CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
影響を受けるシステム:
- JMSAppenderを使用するApache Log4j 1.2
概要:
InterSafe ILPでは log4j の JMSAppender を使用していないため、影響はございません。
--------------------------------------------------------------------------------------
■2021年12月13日
--------------------------------------------------------------------------------------
●CVE-2021-44228
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
影響を受けるシステム:
- Apache Log4j 2.15.0 より前の 2 系のバージョン
概要:
InterSafe ILPではApache Log4j v1.2.17 を使用しております。
問題となっている外部への参照を行うモジュール(Lookup機能)は含まれていないため
影響はございません。
--------------------------------------------------------------------------------------
■2020年5月19日
--------------------------------------------------------------------------------------
●CVE-2020-1967
https://www.ipa.go.jp/security/ciadr/vul/alert20200423.html
影響を受けるシステム:
- OpenSSL 1.1.1d、1.1.1e および 1.1.1f
概要:
SSL および TLS の機能を提供する OpenSSL において、サービス運用妨害(DoS)の
脆弱性が確認されています。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※本脆弱性はTLS1.3に限定された脆弱性になります。
InterSafe ILPではTLS1.2までしか使用していないため、本脆弱性の影響はございません。
接続の受け口となるapacheにてTLS1.3を除外いただく形で今回の脆弱性対策となります。
apacheのTLSv1.3無効化手順は下記の通りです。
■手順
1.httpd-ssl.confを下記の通り修正する。
▼デフォルトパス
C:\Program Files\Apache Software Foundation\Apache2.4\conf\extra\httpd-ssl.conf
▼変更箇所
(変更前)
SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3
(変更後)
SSLProtocol all -SSLv3 -TLSv1.3
SSLProxyProtocol all -SSLv3 -TLSv1.3
2.Apache2.4のサービスを再起動する。
--------------------------------------------------------------------------------------
■2020年2月25日(2020年2月27日追記)
--------------------------------------------------------------------------------------
●CVE-2020-1938
https://www.ipa.go.jp/security/ciadr/vul/alert20200225.html
対象のモジュール:
Apache Tomcat 7.0.0 から 7.0.99
Apache Tomcat 8.5.0 から 8.5.50
Apache Tomcat 8.5.0 から 8.5.50
概要:
Apache Tomcat において、意図しないファイルを読み込んでしまう脆弱性が確認されています。
この脆弱性が悪用された場合、悪意のある第三者が AJP(Apache JServ Protocol)リクエストを
送信し、Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる
可能性があります。
同社からはすでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があること
がアナウンスされているため、できるだけ早急に以下の修正を実施してください。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
1.Apache, Tomcat の順にサービスを停止
2.以下のファイルを編集
(デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
【変更前】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>
【変更後】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="localhost"/>
3.Tomcat, Apache の順にサービスを開始
詳細は、以下FAQをご参照ください。
■2019年7月17日(2019年8月2日追記)
--------------------------------------------------------------------------------------
●CVE-2019-7317
https://www.ipa.go.jp/security/ciadr/vul/20190717-jre.html
対象のモジュール:
Oracle Java SE 12.0.1
Oracle Java SE 11.0.3
Oracle Java SE 8 Update 212
Oracle Java SE Embedded 8 Update 211
Oracle Java SE 7 Update 221
概要:
Oracle 社が提供する Java SE には脆弱性が存在し、攻撃者に悪用されると、
任意のコード(命令)が実行され、コンピュータを制御されるおそれがあります。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、
できるだけ早急に修正プログラムを適用してください。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPでは サンドボックス化されたJava Web Startアプリケーションまたは
サンドボックス化されたJavaアプレット(Java SE 8) を使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年11月1日(2018年11月7日追記)
--------------------------------------------------------------------------------------
https://jvn.jp/vu/JVNVU99875465/
対象のモジュール:
- Apache Tomcat JK mod_jk Connector 1.2.0 から 1.2.44 まで
概要:
Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセス
との対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に
処理できない場合があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPでは mod_jk Connector を使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年8月23日(2018年8月29日追記)
--------------------------------------------------------------------------------------
●CVE-2018-11776(S2-057)
https://www.jpcert.or.jp/at/2018/at180036.html
対象のApache Struts リリース:
- Apache Struts 2
- 2.3 系列 2.3.35 より前のバージョン
- 2.5 系列 2.5.17 より前のバージョン
概要:
遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2
が動作するサーバにおいて、任意のコードが実行する可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPではApache Struts 2使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年7月23日(2018年7月27日追記)
--------------------------------------------------------------------------------------
●CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037
https://www.jpcert.or.jp/at/2018/at180030.html
対象のTomcatリリース:
- CVE-2018-1336
- Apache Tomcat 9.0.0.M9 から 9.0.7
- Apache Tomcat 8.5.0 から 8.5.30
- Apache Tomcat 8.0.0.RC1 から 8.0.51
- Apache Tomcat 7.0.28 から 7.0.86
- CVE-2018-8034
- Apache Tomcat 9.0.0.M1 から 9.0.9
- Apache Tomcat 8.5.0 から 8.5.31
- Apache Tomcat 8.0.0.RC1 から 8.0.52
- Apache Tomcat 7.0.35 から 7.0.88
- CVE-2018-8037
- Apache Tomcat 9.0.0.M9 から 9.0.9
- Apache Tomcat 8.5.5 から 8.5.31
概要:
各脆弱性について、それぞれ以下の可能性があります。
・サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
・既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
・中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ いずれもILPでは使用していません。
--------------------------------------------------------------------------------------
■2017年9月25日(2017年10月11日更新)
--------------------------------------------------------------------------------------
●CVE-2017-12615 、 CVE-2017-12616および CVE-2017-12617
https://www.jpcert.or.jp/at/2017/at170038.html
対象のTomcatリリース:
- CVE-2017-12615
- Apache Tomcat 7.0.0 から 7.0.79
- CVE-2017-12616
- Apache Tomcat 7.0.0 から 7.0.80
- CVE-2017-12617
- Apache Tomcat 9.0.0.M1 から 9.0.0
- Apache Tomcat 8.5.0 から 8.5.22
- Apache Tomcat 8.0.0.RC1 から 8.0.46
- Apache Tomcat 7.0.0 から 7.0.81
概要:
Windows で利用している Apache Tomcatにおいて、readonly パラメータをfalse に
設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエスト
を受けることで、遠隔から任意のコードが実行される可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ いずれもreadonly パラメータは使用していませんので、true(デフォルト値)
で動作しています。
--------------------------------------------------------------------------------------
■2017年6月07日(2017年6月14日追記)
--------------------------------------------------------------------------------------
●CVE-2017-5664
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.43
Apache Tomcat 7.0.0 to 7.0.77
概要:
細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる
可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5647
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.42
Apache Tomcat 7.0.0 to 7.0.76
概要:
NIO(Non-Blocking I/O)を利用してファイルをクライアントに送信する時
別のリクエストで要求したファイルを誤送信してしまう可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5648
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.42
Apache Tomcat 7.0.0 to 7.0.76
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
概要:
Tomcat上でILP以外のWebアプリケーションを配備した際に
そのWebアプリケーションからILPの情報にアクセス出来る可能性があります。
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5650
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650
脆弱性の影響はございません。
●CVE-2017-5651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651
脆弱性の影響はございません。
--------------------------------------------------------------------------------------
■2014年6月5日(2014年6月9日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
●CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
●CVE-2014-0221
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
●CVE-2014-0195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
●CVE-2014-0198
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198
●CVE-2010-5298
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298
●CVE-2014-3470
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
これらの脆弱性による影響はございません。
--------------------------------------------------------------------------------------
■2014年6月2日(2014年6月2日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0075 Denial of Service
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
チャンク化リクエストの一部に奇形のチャンクサイズを技巧することにより、
無制限のデータをサーバに流し込むことで、サイズ制限をバイパスして
リクエストを強制することができてしまいます。
これによりサービス拒否が引き起こされてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0096 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
デフォルトのサーブレットではWebアプリケーションは
ディレクトリ一覧をフォーマットするためのXSLTを定義できます。
セキュリティマネージャの下で実行しているとき、これらはWeb
アプリケーションとは異なるサブジェクトで実行可能です。
これによりこれにより悪意のあるWebアプリケーションは外部の
XMLエンティティを利用してセキュリティマネージャによる制限を
適用することで通常のファイルアクセス制限をバイパスできてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0099 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
リクエストのコンテンツ長のヘッダーをパースするコードが
オーバーフローをチェックしていません。これによりTomcatが
コンテンツ長のヘッダーを正しく処理するリバースプロキシーの
後に配置されたときにリクエスト密輸の脆弱性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0119 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
ある制限された状況下では、デフォルトのサーブレット、
JSPドキュメント、タグライブラリデスクリプタ(TLD)
およびタグプラグイン構成ファイルのためのXSLT処理を行う
Tomcatにより利用されるXMLパーサを、悪意のあるWebアプリ
ケーションは置き換えてしまうことが可能です。
注入されたXMLパーサはXML外部エンティティに対して制限を
バイパスできてしまい、これにより同一Tomcatインスタンス上に
デプロイされた他のWebアプリケーションのために処理されている
XMLファイルが表示できてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
--------------------------------------------------------------------------------------
■2014年4月28日(2014年4月28日追記)
--------------------------------------------------------------------------------------
1. Apache Struts2/Apache Struts1 の脆弱性(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)(CVE-2016-3081)(CVE-2017-5638)
下記製品ではStruts を使用していませんので、影響はありません。
DocumentSecurity
InterSafe SecureDevive
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
2. Open-SSL脆弱性(Heartbleed Bug/CVE-2014-0160)※対象バージョンはOpenSSL 1.0.1 から 1.0.1f (inclusive)
以下製品では当該バージョンを使用していませんので、影響はありません。
DocumentSecurity
InterSafe SecureDevive
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
3. POODLE(Padding Oracle On Downgraded Legacy Encryption)
ILPServerの通信プロトコルはデフォルト設定でHTTPですので、デフォルトの
ままご利用されている場合は、影響がありませんが、HTTPSプロトコル
を使用されている場合は本脆弱性の影響があります。
該当されるお客様は、以下の手順でSSLv3の利用を停止してください。
3-1. SSLv3停止方法
3-1-1.設定ファイルを以下のように「-SSLv3」を追加します。
{apache2.2インストール先(※)}\conf\extra\httpd-ssl.conf
-----------------------------------
# SSL Protocol support:
SSLProtocol all -SSLv2 -SSLv3
-----------------------------------
※デフォルト:C:\Program Files (x86)\Apache Software Foundation\Apache2.2\
3-1-2.apache2.2サービスを再起動すれば終了です。
3-2. SSLv3.0を無効化したことで、ILPServerへ接続できなくなった場合は
ブラウザのオプション設定にてTLS 1.0 を有効にしてください。
3-2-1. TLSの設定
IE はデフォルトで有効になっていますが、
「ツール」⇒「インターネットオプション」⇒「詳細設定」
タブにて「TLS 1.0 を使用する」にチェックを入れて下さい。
3-2-2. 終了です。
【対象製品】
InterSafe SecureDevive Ultimate
(Standard版及びProfessional版には影響はありません。)
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
InterSafe SecurePDF
--------------------------------------------------------------------------------------
関連するご質問
- よくあるご質問
- 詳細