よくあるご質問
キーワードから探す
- FAQ検索
- ID検索
カテゴリから探す
- よくあるご質問
- 詳細
[ILP共通]脆弱性情報について
脆弱性問題につきましては、できる限り迅速に対応しておりますがApache、Tomcatなどのように
頻繁にUpdateされるミドルウェア以外にも、OS自体のアップデートもあり、都度、各製品機能の
正常動作を確認する必要があるため、ミドルウェアの更新も製品アップデートのタイミングに合わせ
計画的に更新しております。ご理解のほど、何卒よろしくお願いいたします。
-----------------------------------------------------------------------------------
■2025年10月15日
-----------------------------------------------------------------------------------
●CVE-2025-8713
https://www.postgresql.org/support/security/CVE-2025-8713/
影響を受けるシステム:
- PostgreSQL 13.0 - 13.21
- PostgreSQL 14.0 - 14.18
- PostgreSQL 15.0 - 15.13
- PostgreSQL 16.0 - 16.9
- PostgreSQL 17.0 - 17.5
概要:
オプティマイザ統計(ヒストグラムや最頻値リスト)を介して、本来アクセスできない
ビュー配下や行レベルセキュリティで隠すはずのデータのサンプルが読めてしまう問題です。
通常のILP稼働ではオプティマイザ統計を利用しませんので影響ありませんが、
悪意あるユーザーがオプティマイザ統計を実行する場合は影響する可能性がございます。
回避策:
以下のバージョンより修正対応済みのPostgreSQL 17.6を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-8714
https://www.postgresql.org/support/security/CVE-2025-8714/
影響を受けるシステム:
- PostgreSQL 13.0 - 13.21
- PostgreSQL 14.0 - 14.18
- PostgreSQL 15.0 - 15.13
- PostgreSQL 16.0 - 16.9
- PostgreSQL 17.0 - 17.5
概要:
pg_dump/pg_dumpallによるダンプへ“信頼できないデータ”が混入すると、
復元時にpsqlクライアントのOS権限で任意コード実行が起こり得る問題です。
通常のILP稼働ではpg_dump/pg_dumpallコマンドを利用しませんので
影響ありませんが、悪意あるデータによりマイグレーション時には
影響する可能性がございます。
回避策:
以下のバージョンより修正対応済みのPostgreSQL 17.6を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-8715
https://www.postgresql.org/support/security/CVE-2025-8715/
影響を受けるシステム:
- PostgreSQL 13.0 - 13.21
- PostgreSQL 14.0 - 14.18
- PostgreSQL 15.0 - 15.13
- PostgreSQL 16.0 - 16.9
- PostgreSQL 17.0 - 17.5
概要:
オブジェクト名内の改行の無害化不備により、pg_dump/pg_dumpall/
pg_restore/pg_upgrade を悪用して、復元時の任意コード実行や復元先サーバ側の
SQLインジェクション(スーパーユーザー権限)に繋がる問題です。
通常のILP稼働ではpg_dump/pg_dumpall/pg_restore/pg_upgradコマンドを
利用しませんので影響ありませんが、悪意あるデータにより、マイグレーション時には
影響する可能性がございます。
回避策:
以下のバージョンより修正対応済みのPostgreSQL 17.6を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
-----------------------------------------------------------------------------------
■2025年7月29日(2025年10月15日追記)
-----------------------------------------------------------------------------------
●CVE-2024-42516
https://nvd.nist.gov/vuln/detail/CVE-2024-42516
影響を受けるシステム:
- Apache HTTP Serverバージョン 2.4.63以前
概要:
Apache HTTP Server のコアにある HTTP レスポンスの分割により、サーバーによって
ホストまたはプロキシされたアプリケーションの Content-Type レスポンスヘッダーを
操作できる攻撃者が HTTP レスポンスを分割できます。
本脆弱性はILPにおいても影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-43204
https://nvd.nist.gov/vuln/detail/CVE-2024-43204
影響を受けるシステム:
- Apache HTTP Serverバージョン 2.4.63以前
概要:
mod_proxyがロードされたApache HTTP ServerのSSRFにより、攻撃者は攻撃者が制御するURLに
アウトバウンドプロキシリクエストを送信できます。HTTP 要求で指定された値を使用して
Content-Type 要求または応答ヘッダーを変更するように構成されている mod_headers という、
あまり一般的ではない構成が必要です。
本脆弱性はILPにおいても影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-43394
https://nvd.nist.gov/vuln/detail/CVE-2024-43394
影響を受けるシステム:
- Apache HTTP Server 2.4.0~ 2.4.63
概要:
Windows 上の Apache HTTP Server の Server-Side Request Forgery (SSRF) は、
NTLM ハッシュを悪意のあるサーバーに漏洩させる可能性があります。(mod_rewrite または apache式。)
本脆弱性はILPにおいても影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-47252
https://nvd.nist.gov/vuln/detail/CVE-2024-47252
影響を受けるシステム:
- Apache HTTP Server 2.4.63以前
概要:
mod_ssl では、ユーザー指定のデータのエスケープが不十分であるため、一部の構成では、
信頼できない SSL/TLSクライアントがログファイルにエスケープ文字を挿入できます。
CustomLog を "%{varname}x" または "%{varname}c" とともに使用して、SSL_TLS_SNI などの
mod_sslによって提供される変数をログに記録するログ構成では、mod_log_config または
mod_ssl によってエスケープは実行されず、クライアントによって提供されたサニタイズ
されていないデータがログ ファイルに表示される場合があります。
上記にあてはまる設定によりILPに影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-49630
https://nvd.nist.gov/vuln/detail/CVE-2024-49630
影響を受けるシステム:
- WP Education: n/a から 1.2.8
概要:
信頼できないクライアントによってトリガーされ、mod_proxy_http2 でアサーションが発生する
可能性があります。本脆弱性はILPに影響ございません。
●CVE-2025-49812
https://nvd.nist.gov/vuln/detail/CVE-2025-49812
影響を受けるシステム:
-「SSLEngine optional」を使用してTLSアップグレードを有効にしている設定のみ
概要:
一部の mod_ssl 設定では、HTTP 非同期化攻撃により、中間者攻撃者が TLS
アップグレードを介してHTTP セッションを乗っ取ることができます。
「SSLEngine optional」を使用してTLSアップグレードを有効にする構成のみが
影響を受けます。ユーザーは、TLSアップグレードのサポートを削除する
バージョン2.4.64にアップグレードすることをお勧めします。
上記にあてはまる設定によりILPに影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-53020
https://nvd.nist.gov/vuln/detail/CVE-2025-53020
影響を受けるシステム:
- Apache HTTP Server 2.4.17から2.4.63
概要:
Apache HTTP Server の Memory after Effective Life のレイトリリースの脆弱性。
本脆弱性はILPに影響ございません。
●CVE-2025-23048
https://nvd.nist.gov/vuln/detail/CVE-2025-23048
影響を受けるシステム:
- Apache HTTP Server 2.4.35 ~2.4.63
概要:
一部の mod_ssl 設定では、TLS 1.3 セッションの再開を使用して、信頼できるクライアントによる
アクセス制御のバイパスが可能です。mod_ssl が複数の仮想ホストに対して構成され、それぞれが
異なる信頼されたクライアント証明書のセットに制限されている場合 (たとえば、異なる
SSLCACertificateFile/Path 設定の場合)、構成が影響を受けます。このような場合、
SSLStrictSNIVHostCheck がどちらの仮想ホストでも使用可能になっていないと、
1 つの仮想ホストへのアクセスを信頼されたクライアントが別の仮想ホストにアクセスできる可能性があります。
上記にあてはまる設定によりILPに影響があります。複数の仮想ホストでなければ対象外です。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
-----------------------------------------------------------------------------------
■2025年7月22日(2025年10月15日追記)
-----------------------------------------------------------------------------------
●CVE-2025-52434
https://nvd.nist.gov/vuln/detail/CVE-2025-52434
影響を受けるシステム:
- Apache Tomcat 10.1.0-M1~10.1.41
概要:
「APR/Nativeコネクタ」における接続の終了処理において競合状態が発生し、サービス拒否が生じる可能性があります。
「APR/Nativeコネクタ」は利用していませんので本脆弱性の影響はありません
●CVE-2025-53506
https://nvd.nist.gov/vuln/detail/CVE-2025-53506
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.8
- Apache Tomcat 10.1.0-M1~10.1.42
- Apache Tomcat 9.0.0.M1~9.0.106
概要:
HTTP/2クライアントが、許可される最大同時ストリーム数を減らす初期設定フレームを認識しなかった場合、
過剰な「HTTP/2ストリーム」によってリソースを浪費し、サービス拒否が生じる可能性があります。
HTTP/2は利用していませんので本脆弱性の影響はありません
●CVE-2025-52520
https://nvd.nist.gov/vuln/detail/CVE-2025-52520
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.8
- Apache Tomcat 10.1.0-M1~10.1.42
- Apache Tomcat 9.0.0.M1~9.0.106
概要:
マルチパートアップロードの特定構成において、整数オーバーフローによりサイズ制限がバイパスされ、サービス拒否に陥る可能性がございます。
ファイルアップロードに関する機能でILPに影響いたします。
回避策:
以下のバージョンより修正対応済みのApache Tomcat 10.1.44を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
-----------------------------------------------------------------------------------
■2025年7月9日(2025年10月15日追記)
-----------------------------------------------------------------------------------
●CVE-2025-48976 / CVE-2025-48988
https://nvd.nist.gov/vuln/detail/cve-2025-24813
https://nvd.nist.gov/vuln/detail/CVE-2025-48988
影響を受けるシステム:
- Apache Commons FileUpload 1.0~1.6
- Apache Commons FileUpload 2.0.0-M1~2.0.0-M4
- Apache Tomcat 11.0.0-M1~11.0.7
- Apache Tomcat 10.1.0-M1~10.1.41
- Apache Tomcat 9.0.0.M1~9.0.105
概要:
特別に細工されたリクエストでDoSを引き起こす可能性があります。
ファイルアップロードに関する機能でILPに影響いたします。
回避策:
以下のバージョンより修正対応済みのApache Tomcat 10.1.44を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-49124
https://nvd.nist.gov/vuln/detail/CVE-2025-49124
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.7
- Apache Tomcat 10.1.0-M1~10.1.41
- Apache Tomcat 9.0.0.M1~9.0.105
概要:
Windows向けTomcatインストーラーがicacls.exeを読み込む際にサイドローディングが
発生する可能性があり、任意のコードを実行される問題です。
インストール時に問題が発生しなければ問題ないかと存じますが、脆弱性の対象です。
回避策:
以下のバージョンより修正対応済みのApache Tomcat 10.1.44を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-49125
https://nvd.nist.gov/vuln/detail/CVE-2025-49125
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.7
- Apache Tomcat 10.1.0-M1~10.1.41
- Apache Tomcat 9.0.0.M1~9.0.105
概要:
Tomcatの設定でPreResourcesやPostResourcesがWebアプリケーションのルート以外に配置されている場合、
Tomcatのセキュリティ制約が回避される問題です。
通常のインストールでは変更していないため、本脆弱性の影響はありません。
●CVE-2025-46701
https://nvd.nist.gov/vuln/detail/CVE-2025-46701
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.6
- Apache Tomcat 10.1.0-M1~10.1.40
- Apache Tomcat 9.0.0.M1~9.0.104
概要:
CGIサーブレットでセキュリティ制約を回避できてしまう脆弱性です。
CGIサーブレットは利用していませんので、本脆弱性の影響はありません。
-----------------------------------------------------------------------------------
■2025年4月25日
-----------------------------------------------------------------------------------
●CVE-2025-24813
https://nvd.nist.gov/vuln/detail/cve-2025-24813
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.2
- Apache Tomcat 10.1.0-M1~10.1.34
- Apache Tomcat 9.0.0.M1~9.0.98
概要:
InterSafe ILPではJSPを利用していないため、影響はございません。
●CVE-2024-5535
https://nvd.nist.gov/vuln/detail/cve-2024-5535
影響を受けるシステム:
- OpenSSL 1.0.2 , 1.1.1 , 3.0~3.3
概要:
openssl の該当APIを使用していないため本脆弱性の影響はありません
●CVE-2024-9143
https://nvd.nist.gov/vuln/detail/cve-2024-9143
影響を受けるシステム:
- OpenSSL 1.0.2 , 1.1.1 , 3.0~3.3
概要:
楕円曲線暗号に関する脆弱性でopenssl の該当APIを使用していないため本脆弱性の影響はありません
-----------------------------------------------------------------------------------
■2025年02月19日
-----------------------------------------------------------------------------------
●CVE-2025-1094
https://www.postgresql.org/support/security/CVE-2025-1094/
影響を受けるシステム:
- PostgreSQL 13から17まで
概要:
InterSafe ILPではpsql 及び対象となるエンコードを利用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2025年01月30日
-----------------------------------------------------------------------------------
●CVE-2024-50379
https://jvn.jp/vu/JVNVU98102314/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1から11.0.1まで
- Apache Tomcat 10.1.0-M1から10.1.33まで
- Apache Tomcat 9.0.0.M1から9.0.97まで
※ILP 8.20.00 以前にバンドルされているApache Tomcat 8.5.xは、
開発元であるApache Software Foundationのサポートが
2024年3月31日に終了しております。
お客様におかれましては、最新のILPへのバージョンアップをご検討ください。
概要:
InterSafe ILPではJSPを利用していないため、影響はございません。
●CVE-2024-50379
https://jvn.jp/vu/JVNVU98102314/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1から11.0.1まで
- Apache Tomcat 10.1.0-M1から10.1.33まで
- Apache Tomcat 9.0.0.M1から9.0.97まで
※ILP 8.20.00 以前にバンドルされているApache Tomcat 8.5.xは、
開発元であるApache Software Foundationのサポートが
2024年3月31日に終了しております。
お客様におかれましては、最新のILPへのバージョンアップをご検討ください。
概要:
サンプルWebアプリの問題でInterSafe ILPには影響はございません。
-----------------------------------------------------------------------------------
■2025年1月23日
-----------------------------------------------------------------------------------
●CVE-2024-6119
https://jvn.jp/vu/JVNVU91755094/
影響を受けるシステム:
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
概要:
証明書名のチェックを実行するアプリケーションが無効なメモリ アドレスを読み取ろうとし、
アプリケーションプロセスが異常終了する可能性があります。
ILPにおいても、X.509証明書を利用している場合、本脆弱性に該当します。
回避策:
以下のバージョンより修正対応済みのOpenSSL 3.1.7を使用しておりますので、
アップデートをお願いいたします。
- v8.63.00
-----------------------------------------------------------------------------------
■2024年12月13日
-----------------------------------------------------------------------------------
●CVE-2024-10976
https://www.postgresql.org/support/security/CVE-2024-10976/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.14
概要:
InterSafe ILPでは行セキュリティを利用していないため、影響はございません。
●CVE-2024-10978
https://www.postgresql.org/support/security/CVE-2024-10978/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.14
概要:
InterSafe ILPでは「SET ROLE, SET SESSION AUTHORIZATION」コマンドを
直接実行することはないため、影響はございません。
●CVE-2024-10979
https://www.postgresql.org/support/security/CVE-2024-10979/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.14
概要:
InterSafe ILPではPL/Perlを利用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2024年06月24日
-----------------------------------------------------------------------------------
●CVE-2024-23672、CVE-2024-24549
https://jvn.jp/vu/JVNVU99626420/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1から11.0.0-M16まで
- Apache Tomcat 10.1.0-M1から10.1.18まで
- Apache Tomcat 9.0.0-M1から9.0.85まで
- Apache Tomcat 8.5.0から8.5.98まで
概要:
InterSafe ILPではWebSocket、Http/2を使用していないため、影響はございません。
●CVE-2023-24998
https://jvn.jp/vu/JVNVU91253151/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1
- Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
- Apache Tomcat 8.5.0から8.5.84までのバージョン
概要:
InterSafe ILPではApache Tomcatのファイルアップロード機能を使用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2023年08月29日
-----------------------------------------------------------------------------------
●CVE-2023-39417
https://www.postgresql.org/support/security/CVE-2023-39417/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.8
概要:
InterSafe ILPでは拡張スクリプトを使用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2023年03月10日
-----------------------------------------------------------------------------------
●CVE-2023-25690,CVE-2023-27522
https://jvn.jp/vu/JVNVU94155938/
影響を受けるシステム:
- Apache HTTP Server 2.4.0 - 2.4.55
概要:
The Apache Software Foundationから、Apache HTTP Server 2.4系における
次の複数の脆弱性に対応したApache HTTP Server 2.4.56が公開されました。
・mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
・mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
・攻撃者によって、プロキシサーバのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする
・攻撃者によって、クライアントに転送されるレスポンスが切り捨てられたり、分割されたりする
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v7.50 - v8.20まで影響あり)
回避策:
後述の手順にてURLリダイレクトの設定を無効化してください。
※WorkFlowまたはFileTransporterを利用している、かつInterSafe Serverがv7.50以降でInterSafe Clientがv7.01.11以前の組み合わせで利用されている場合、
URLリダイレクトの設定を無効化することで、InterSafe Clientアイコンを右クリックして「InterSafe WorkFlowの起動」を
実施すると404エラーが出力されます。
そのため予めInterSafe Clientをv7.50以降にアップデートしたうえで、URLリダイレクトの設定を無効化してください。
■手順
1.httpd.confを下記の通り、コメントアウトします。
▼デフォルトパス
C:\Program Files\Apache Software Foundation\Apache2.4\conf\httpd.conf
▼変更箇所
(変更前)
RewriteEngine on
RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
(変更後)
#RewriteEngine on
#RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
2.Apache2.4のサービスを再起動する。
-----------------------------------------------------------------------------------
■2023年2月17日(2023年3月3日追記)
-----------------------------------------------------------------------------------
●CVE-2006-20001,CVE-2022-36760,CVE-2022-37436
https://jvn.jp/vu/JVNVU99928083/
影響を受けるシステム:
- Apache HTTP Server 2.4.54およびそれ以前
概要:
The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。
・mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性
・mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性
・mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
・攻撃者によって、プロセスをクラッシュされる
・攻撃者によって、悪意のあるリクエストをAJPサーバに転送される
・悪意のあるバックエンドによって、レスポンスヘッダを切り捨てられる
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v6.0 - v8.10.03まで影響あり)
回避策:
以下のバージョンよりApache HTTP Server 2.4.55を使用しておりますので、アップデートをお願いいたします。
- v8.01.06 (2023年3月3日追記)
- v8.10.04
- v8.20.00 (2023年3月3日追記)
-----------------------------------------------------------------------------------
■2022年11月17日
-----------------------------------------------------------------------------------
●CVE-2022-42252
https://jvn.jp/vu/JVNVU93003913/
影響を受けるシステム:
- Apache Tomcat 8.5.0から8.5.82までのバージョン
概要:
Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)としている場合、
無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという脆弱性が確認されています。
Apache Tomcatは不正なヘッダを含むリクエストを拒否しないため、Apache Tomcatをリバースプロキシの背後に配備している場合、
リクエストスマグリング攻撃が行われる可能性がございます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v6.0 - v8.10まで影響あり)
回避策:
1.Apache, Tomcat の順にサービスを停止
2.以下のファイルを編集し、Connectorタグ内にrejectIllegalHeader属性の値を追加
(デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
【変更前】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" />
【変更後】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" rejectIllegalHeader="true"/>
3.Tomcat, Apache の順にサービスを開始
-----------------------------------------------------------------------------------
■2022年10月6日(2022年10月7日修正)
-----------------------------------------------------------------------------------
●CVE-2021-43980
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43980
影響を受けるシステム:
- Apache Tomcat 8.5.0から8.5.77までのバージョン
概要:
InterSafe ILPではApache-Tomcatを連携しており、Apache-Tomcat間ではHttp1.1ではなく、 AJP1.3のプロトコルを使用してるため、本脆弱性に該当いたしません。
(補足)
2022年10月6日時点では「影響あり」と記載しておりましたが、
ILPの機能としては影響ないことが確認できましたので、脆弱性に該当しない旨、記載を修正しております。
-----------------------------------------------------------------------------------
■2022年7月19日
-----------------------------------------------------------------------------------
●CVE-2022-34305
https://jvn.jp/vu/JVNVU92304549/
影響を受けるシステム:
※本脆弱性はApache Tomcatの「examples」をインストールしている場合にのみ影響があります。
InterSafe ILPのインストーラーはデフォルトではApache Tomcatの「examples」はインストールしませんので、
影響はありません。
- Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.22までのバージョン
- Apache Tomcat 9.0.30から9.0.64までのバージョン
- Apache Tomcat 8.5.50から8.5.81までのバージョン
概要:
Apache Tomcat のexamplesにクロスサイトスクリプティングの脆弱性が確認されています。
この脆弱性が悪用された場合、当該サンプルを使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり
回避策:
※InterSafe ILPのインストール時にApache Tomcatの「examples」のチェックを選択し、
インストールしている場合は以下対応方法を実施してください。
1.Apache, Tomcat の順にサービスを停止
2.以下のフォルダを削除
・Tomcat 8.5\webapps\examples
・Tomcat 8.5\work\Catalina\localhost\examples
3.Tomcat, Apache の順にサービスを開始
※サービス停止時は、オフラインログイン機能にて一部機能がご利用いただけます。
詳細は、以下FAQをご参照ください。
[ILP共通]オフラインログイン時の動作について
--------------------------------------------------------------------------------------
■2022年4月4日
--------------------------------------------------------------------------------------
●CVE-2022-22965
https://www.jpcert.or.jp/newsflash/2022040101.html
影響を受けるシステム:
- Spring Framework 5.2.0から5.2.19
- Spring Framework 5.3.0から5.3.17
概要:
InterSafe ILPでは Spring Framework を使用していないため、影響はございません。
--------------------------------------------------------------------------------------
■2021年12月17日
--------------------------------------------------------------------------------------
●CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
影響を受けるシステム:
- JMSAppenderを使用するApache Log4j 1.2
概要:
InterSafe ILPでは log4j の JMSAppender を使用していないため、影響はございません。
--------------------------------------------------------------------------------------
■2021年12月13日
--------------------------------------------------------------------------------------
●CVE-2021-44228
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
影響を受けるシステム:
- Apache Log4j 2.15.0 より前の 2 系のバージョン
概要:
InterSafe ILPではApache Log4j v1.2.17 を使用しております。
問題となっている外部への参照を行うモジュール(Lookup機能)は含まれていないため
影響はございません。
--------------------------------------------------------------------------------------
■2020年5月19日
--------------------------------------------------------------------------------------
●CVE-2020-1967
https://www.ipa.go.jp/security/ciadr/vul/alert20200423.html
影響を受けるシステム:
- OpenSSL 1.1.1d、1.1.1e および 1.1.1f
概要:
SSL および TLS の機能を提供する OpenSSL において、サービス運用妨害(DoS)の
脆弱性が確認されています。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※本脆弱性はTLS1.3に限定された脆弱性になります。
InterSafe ILPではTLS1.2までしか使用していないため、本脆弱性の影響はございません。
ILPではTLS1.3での接続はおこなっておりませんが、
接続の受け口となるapacheにてTLS1.3を除外いただく形で今回の脆弱性対策となります。
apacheのTLSv1.3無効化手順は下記の通りです。
■手順
1.httpd-ssl.confを下記の通り修正する。
▼デフォルトパス
C:\Program Files\Apache Software Foundation\Apache2.4\conf\extra\httpd-ssl.conf
▼変更箇所
(変更前)
SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3
(変更後)
SSLProtocol all -SSLv3 -TLSv1.3
SSLProxyProtocol all -SSLv3 -TLSv1.3
2.Apache2.4のサービスを再起動する。
--------------------------------------------------------------------------------------
■2020年2月25日(2020年2月27日追記)
--------------------------------------------------------------------------------------
●CVE-2020-1938
https://www.ipa.go.jp/security/ciadr/vul/alert20200225.html
対象のモジュール:
Apache Tomcat 7.0.0 から 7.0.99
Apache Tomcat 8.5.0 から 8.5.50
Apache Tomcat 8.5.0 から 8.5.50
概要:
Apache Tomcat において、意図しないファイルを読み込んでしまう脆弱性が確認されています。
この脆弱性が悪用された場合、悪意のある第三者が AJP(Apache JServ Protocol)リクエストを
送信し、Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる
可能性があります。
同社からはすでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があること
がアナウンスされているため、できるだけ早急に以下の修正を実施してください。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
1.Apache, Tomcat の順にサービスを停止
2.以下のファイルを編集
(デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
【変更前】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>
【変更後】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="localhost"/>
3.Tomcat, Apache の順にサービスを開始
※サービス停止時は、オフラインログイン機能にて一部機能がご利用いただけます。
詳細は、以下FAQをご参照ください。
[ILP共通]オフラインログイン時の動作について
--------------------------------------------------------------------------------------
■2019年7月17日(2019年8月2日追記)
--------------------------------------------------------------------------------------
●CVE-2019-7317
https://www.ipa.go.jp/security/ciadr/vul/20190717-jre.html
対象のモジュール:
Oracle Java SE 12.0.1
Oracle Java SE 11.0.3
Oracle Java SE 8 Update 212
Oracle Java SE Embedded 8 Update 211
Oracle Java SE 7 Update 221
概要:
Oracle 社が提供する Java SE には脆弱性が存在し、攻撃者に悪用されると、
任意のコード(命令)が実行され、コンピュータを制御されるおそれがあります。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、
できるだけ早急に修正プログラムを適用してください。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPでは サンドボックス化されたJava Web Startアプリケーションまたは
サンドボックス化されたJavaアプレット(Java SE 8) を使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年11月1日(2018年11月7日追記)
--------------------------------------------------------------------------------------
https://jvn.jp/vu/JVNVU99875465/
対象のモジュール:
- Apache Tomcat JK mod_jk Connector 1.2.0 から 1.2.44 まで
概要:
Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセス
との対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に
処理できない場合があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPでは mod_jk Connector を使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年8月23日(2018年8月29日追記)
--------------------------------------------------------------------------------------
●CVE-2018-11776(S2-057)
https://www.jpcert.or.jp/at/2018/at180036.html
対象のApache Struts リリース:
- Apache Struts 2
- 2.3 系列 2.3.35 より前のバージョン
- 2.5 系列 2.5.17 より前のバージョン
概要:
遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2
が動作するサーバにおいて、任意のコードが実行する可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPではApache Struts 2使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年7月23日(2018年7月27日追記)
--------------------------------------------------------------------------------------
●CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037
https://www.jpcert.or.jp/at/2018/at180030.html
対象のTomcatリリース:
- CVE-2018-1336
- Apache Tomcat 9.0.0.M9 から 9.0.7
- Apache Tomcat 8.5.0 から 8.5.30
- Apache Tomcat 8.0.0.RC1 から 8.0.51
- Apache Tomcat 7.0.28 から 7.0.86
- CVE-2018-8034
- Apache Tomcat 9.0.0.M1 から 9.0.9
- Apache Tomcat 8.5.0 から 8.5.31
- Apache Tomcat 8.0.0.RC1 から 8.0.52
- Apache Tomcat 7.0.35 から 7.0.88
- CVE-2018-8037
- Apache Tomcat 9.0.0.M9 から 9.0.9
- Apache Tomcat 8.5.5 から 8.5.31
概要:
各脆弱性について、それぞれ以下の可能性があります。
・サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
・既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
・中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ いずれもILPでは使用していません。
--------------------------------------------------------------------------------------
■2017年9月25日(2017年10月11日更新)
--------------------------------------------------------------------------------------
●CVE-2017-12615 、 CVE-2017-12616および CVE-2017-12617
https://www.jpcert.or.jp/at/2017/at170038.html
対象のTomcatリリース:
- CVE-2017-12615
- Apache Tomcat 7.0.0 から 7.0.79
- CVE-2017-12616
- Apache Tomcat 7.0.0 から 7.0.80
- CVE-2017-12617
- Apache Tomcat 9.0.0.M1 から 9.0.0
- Apache Tomcat 8.5.0 から 8.5.22
- Apache Tomcat 8.0.0.RC1 から 8.0.46
- Apache Tomcat 7.0.0 から 7.0.81
概要:
Windows で利用している Apache Tomcatにおいて、readonly パラメータをfalse に
設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエスト
を受けることで、遠隔から任意のコードが実行される可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ いずれもreadonly パラメータは使用していませんので、true(デフォルト値)で動作しています。
--------------------------------------------------------------------------------------
■2017年6月07日(2017年6月14日追記)
--------------------------------------------------------------------------------------
●CVE-2017-5664
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.43
Apache Tomcat 7.0.0 to 7.0.77
概要:
細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる
可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5647
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.42
Apache Tomcat 7.0.0 to 7.0.76
概要:
NIO(Non-Blocking I/O)を利用してファイルをクライアントに送信する時
別のリクエストで要求したファイルを誤送信してしまう可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5648
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.42
Apache Tomcat 7.0.0 to 7.0.76
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
概要:
Tomcat上でILP以外のWebアプリケーションを配備した際に
そのWebアプリケーションからILPの情報にアクセス出来る可能性があります。
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5650
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650
脆弱性の影響はございません。
●CVE-2017-5651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651
脆弱性の影響はございません。
--------------------------------------------------------------------------------------
■2014年6月5日(2014年6月9日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
●CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
●CVE-2014-0221
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
●CVE-2014-0195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
●CVE-2014-0198
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198
●CVE-2010-5298
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298
●CVE-2014-3470
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
これらの脆弱性による影響はございません。
--------------------------------------------------------------------------------------
■2014年6月2日(2014年6月2日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0075 Denial of Service
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
チャンク化リクエストの一部に奇形のチャンクサイズを技巧することにより、
無制限のデータをサーバに流し込むことで、サイズ制限をバイパスして
リクエストを強制することができてしまいます。
これによりサービス拒否が引き起こされてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0096 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
デフォルトのサーブレットではWebアプリケーションは
ディレクトリ一覧をフォーマットするためのXSLTを定義できます。
セキュリティマネージャの下で実行しているとき、これらはWeb
アプリケーションとは異なるサブジェクトで実行可能です。
これによりこれにより悪意のあるWebアプリケーションは外部の
XMLエンティティを利用してセキュリティマネージャによる制限を
適用することで通常のファイルアクセス制限をバイパスできてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0099 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
リクエストのコンテンツ長のヘッダーをパースするコードが
オーバーフローをチェックしていません。これによりTomcatが
コンテンツ長のヘッダーを正しく処理するリバースプロキシーの
後に配置されたときにリクエスト密輸の脆弱性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0119 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
ある制限された状況下では、デフォルトのサーブレット、
JSPドキュメント、タグライブラリデスクリプタ(TLD)
およびタグプラグイン構成ファイルのためのXSLT処理を行う
Tomcatにより利用されるXMLパーサを、悪意のあるWebアプリ
ケーションは置き換えてしまうことが可能です。
注入されたXMLパーサはXML外部エンティティに対して制限を
バイパスできてしまい、これにより同一Tomcatインスタンス上に
デプロイされた他のWebアプリケーションのために処理されている
XMLファイルが表示できてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
--------------------------------------------------------------------------------------
■2014年4月28日(2014年4月28日追記)
--------------------------------------------------------------------------------------
1. Apache Struts2/Apache Struts1 の脆弱性(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)(CVE-2016-3081)(CVE-2017-5638)
下記製品ではStruts を使用していませんので、影響はありません。
DocumentSecurity
InterSafe SecureDevive
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
2. Open-SSL脆弱性(Heartbleed Bug/CVE-2014-0160)※対象バージョンはOpenSSL 1.0.1 から 1.0.1f (inclusive)
以下製品では当該バージョンを使用していませんので、影響はありません。
DocumentSecurity
InterSafe SecureDevive
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
3. POODLE(Padding Oracle On Downgraded Legacy Encryption)
ILPServerの通信プロトコルはデフォルト設定でHTTPですので、デフォルトの
ままご利用されている場合は、影響がありませんが、HTTPSプロトコル
を使用されている場合は本脆弱性の影響があります。
該当されるお客様は、以下の手順でSSLv3の利用を停止してください。
3-1. SSLv3停止方法
3-1-1.設定ファイルを以下のように「-SSLv3」を追加します。
{apache2.2インストール先(※)}\conf\extra\httpd-ssl.conf
-----------------------------------
# SSL Protocol support:
SSLProtocol all -SSLv2 -SSLv3
-----------------------------------
※デフォルト:C:\Program Files (x86)\Apache Software Foundation\Apache2.2\
3-1-2.apache2.2サービスを再起動すれば終了です。
3-2. SSLv3.0を無効化したことで、ILPServerへ接続できなくなった場合は
ブラウザのオプション設定にてTLS 1.0 を有効にしてください。
3-2-1. TLSの設定
IE はデフォルトで有効になっていますが、
「ツール」⇒「インターネットオプション」⇒「詳細設定」
タブにて「TLS 1.0 を使用する」にチェックを入れて下さい。
3-2-2. 終了です。
【対象製品】
InterSafe SecureDevive Ultimate
(Standard版及びProfessional版には影響はありません。)
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
InterSafe SecurePDF
--------------------------------------------------------------------------------------
頻繁にUpdateされるミドルウェア以外にも、OS自体のアップデートもあり、都度、各製品機能の
正常動作を確認する必要があるため、ミドルウェアの更新も製品アップデートのタイミングに合わせ
計画的に更新しております。ご理解のほど、何卒よろしくお願いいたします。
-----------------------------------------------------------------------------------
■2025年10月15日
-----------------------------------------------------------------------------------
●CVE-2025-8713
https://www.postgresql.org/support/security/CVE-2025-8713/
影響を受けるシステム:
- PostgreSQL 13.0 - 13.21
- PostgreSQL 14.0 - 14.18
- PostgreSQL 15.0 - 15.13
- PostgreSQL 16.0 - 16.9
- PostgreSQL 17.0 - 17.5
概要:
オプティマイザ統計(ヒストグラムや最頻値リスト)を介して、本来アクセスできない
ビュー配下や行レベルセキュリティで隠すはずのデータのサンプルが読めてしまう問題です。
通常のILP稼働ではオプティマイザ統計を利用しませんので影響ありませんが、
悪意あるユーザーがオプティマイザ統計を実行する場合は影響する可能性がございます。
回避策:
以下のバージョンより修正対応済みのPostgreSQL 17.6を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-8714
https://www.postgresql.org/support/security/CVE-2025-8714/
影響を受けるシステム:
- PostgreSQL 13.0 - 13.21
- PostgreSQL 14.0 - 14.18
- PostgreSQL 15.0 - 15.13
- PostgreSQL 16.0 - 16.9
- PostgreSQL 17.0 - 17.5
概要:
pg_dump/pg_dumpallによるダンプへ“信頼できないデータ”が混入すると、
復元時にpsqlクライアントのOS権限で任意コード実行が起こり得る問題です。
通常のILP稼働ではpg_dump/pg_dumpallコマンドを利用しませんので
影響ありませんが、悪意あるデータによりマイグレーション時には
影響する可能性がございます。
回避策:
以下のバージョンより修正対応済みのPostgreSQL 17.6を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-8715
https://www.postgresql.org/support/security/CVE-2025-8715/
影響を受けるシステム:
- PostgreSQL 13.0 - 13.21
- PostgreSQL 14.0 - 14.18
- PostgreSQL 15.0 - 15.13
- PostgreSQL 16.0 - 16.9
- PostgreSQL 17.0 - 17.5
概要:
オブジェクト名内の改行の無害化不備により、pg_dump/pg_dumpall/
pg_restore/pg_upgrade を悪用して、復元時の任意コード実行や復元先サーバ側の
SQLインジェクション(スーパーユーザー権限)に繋がる問題です。
通常のILP稼働ではpg_dump/pg_dumpall/pg_restore/pg_upgradコマンドを
利用しませんので影響ありませんが、悪意あるデータにより、マイグレーション時には
影響する可能性がございます。
回避策:
以下のバージョンより修正対応済みのPostgreSQL 17.6を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
-----------------------------------------------------------------------------------
■2025年7月29日(2025年10月15日追記)
-----------------------------------------------------------------------------------
●CVE-2024-42516
https://nvd.nist.gov/vuln/detail/CVE-2024-42516
影響を受けるシステム:
- Apache HTTP Serverバージョン 2.4.63以前
概要:
Apache HTTP Server のコアにある HTTP レスポンスの分割により、サーバーによって
ホストまたはプロキシされたアプリケーションの Content-Type レスポンスヘッダーを
操作できる攻撃者が HTTP レスポンスを分割できます。
本脆弱性はILPにおいても影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-43204
https://nvd.nist.gov/vuln/detail/CVE-2024-43204
影響を受けるシステム:
- Apache HTTP Serverバージョン 2.4.63以前
概要:
mod_proxyがロードされたApache HTTP ServerのSSRFにより、攻撃者は攻撃者が制御するURLに
アウトバウンドプロキシリクエストを送信できます。HTTP 要求で指定された値を使用して
Content-Type 要求または応答ヘッダーを変更するように構成されている mod_headers という、
あまり一般的ではない構成が必要です。
本脆弱性はILPにおいても影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-43394
https://nvd.nist.gov/vuln/detail/CVE-2024-43394
影響を受けるシステム:
- Apache HTTP Server 2.4.0~ 2.4.63
概要:
Windows 上の Apache HTTP Server の Server-Side Request Forgery (SSRF) は、
NTLM ハッシュを悪意のあるサーバーに漏洩させる可能性があります。(mod_rewrite または apache式。)
本脆弱性はILPにおいても影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-47252
https://nvd.nist.gov/vuln/detail/CVE-2024-47252
影響を受けるシステム:
- Apache HTTP Server 2.4.63以前
概要:
mod_ssl では、ユーザー指定のデータのエスケープが不十分であるため、一部の構成では、
信頼できない SSL/TLSクライアントがログファイルにエスケープ文字を挿入できます。
CustomLog を "%{varname}x" または "%{varname}c" とともに使用して、SSL_TLS_SNI などの
mod_sslによって提供される変数をログに記録するログ構成では、mod_log_config または
mod_ssl によってエスケープは実行されず、クライアントによって提供されたサニタイズ
されていないデータがログ ファイルに表示される場合があります。
上記にあてはまる設定によりILPに影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2024-49630
https://nvd.nist.gov/vuln/detail/CVE-2024-49630
影響を受けるシステム:
- WP Education: n/a から 1.2.8
概要:
信頼できないクライアントによってトリガーされ、mod_proxy_http2 でアサーションが発生する
可能性があります。本脆弱性はILPに影響ございません。
●CVE-2025-49812
https://nvd.nist.gov/vuln/detail/CVE-2025-49812
影響を受けるシステム:
-「SSLEngine optional」を使用してTLSアップグレードを有効にしている設定のみ
概要:
一部の mod_ssl 設定では、HTTP 非同期化攻撃により、中間者攻撃者が TLS
アップグレードを介してHTTP セッションを乗っ取ることができます。
「SSLEngine optional」を使用してTLSアップグレードを有効にする構成のみが
影響を受けます。ユーザーは、TLSアップグレードのサポートを削除する
バージョン2.4.64にアップグレードすることをお勧めします。
上記にあてはまる設定によりILPに影響があります。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-53020
https://nvd.nist.gov/vuln/detail/CVE-2025-53020
影響を受けるシステム:
- Apache HTTP Server 2.4.17から2.4.63
概要:
Apache HTTP Server の Memory after Effective Life のレイトリリースの脆弱性。
本脆弱性はILPに影響ございません。
●CVE-2025-23048
https://nvd.nist.gov/vuln/detail/CVE-2025-23048
影響を受けるシステム:
- Apache HTTP Server 2.4.35 ~2.4.63
概要:
一部の mod_ssl 設定では、TLS 1.3 セッションの再開を使用して、信頼できるクライアントによる
アクセス制御のバイパスが可能です。mod_ssl が複数の仮想ホストに対して構成され、それぞれが
異なる信頼されたクライアント証明書のセットに制限されている場合 (たとえば、異なる
SSLCACertificateFile/Path 設定の場合)、構成が影響を受けます。このような場合、
SSLStrictSNIVHostCheck がどちらの仮想ホストでも使用可能になっていないと、
1 つの仮想ホストへのアクセスを信頼されたクライアントが別の仮想ホストにアクセスできる可能性があります。
上記にあてはまる設定によりILPに影響があります。複数の仮想ホストでなければ対象外です。
回避策:
以下のバージョンより修正対応済みのApache 2.4.65を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
-----------------------------------------------------------------------------------
■2025年7月22日(2025年10月15日追記)
-----------------------------------------------------------------------------------
●CVE-2025-52434
https://nvd.nist.gov/vuln/detail/CVE-2025-52434
影響を受けるシステム:
- Apache Tomcat 10.1.0-M1~10.1.41
概要:
「APR/Nativeコネクタ」における接続の終了処理において競合状態が発生し、サービス拒否が生じる可能性があります。
「APR/Nativeコネクタ」は利用していませんので本脆弱性の影響はありません
●CVE-2025-53506
https://nvd.nist.gov/vuln/detail/CVE-2025-53506
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.8
- Apache Tomcat 10.1.0-M1~10.1.42
- Apache Tomcat 9.0.0.M1~9.0.106
概要:
HTTP/2クライアントが、許可される最大同時ストリーム数を減らす初期設定フレームを認識しなかった場合、
過剰な「HTTP/2ストリーム」によってリソースを浪費し、サービス拒否が生じる可能性があります。
HTTP/2は利用していませんので本脆弱性の影響はありません
●CVE-2025-52520
https://nvd.nist.gov/vuln/detail/CVE-2025-52520
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.8
- Apache Tomcat 10.1.0-M1~10.1.42
- Apache Tomcat 9.0.0.M1~9.0.106
概要:
マルチパートアップロードの特定構成において、整数オーバーフローによりサイズ制限がバイパスされ、サービス拒否に陥る可能性がございます。
ファイルアップロードに関する機能でILPに影響いたします。
回避策:
以下のバージョンより修正対応済みのApache Tomcat 10.1.44を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
-----------------------------------------------------------------------------------
■2025年7月9日(2025年10月15日追記)
-----------------------------------------------------------------------------------
●CVE-2025-48976 / CVE-2025-48988
https://nvd.nist.gov/vuln/detail/cve-2025-24813
https://nvd.nist.gov/vuln/detail/CVE-2025-48988
影響を受けるシステム:
- Apache Commons FileUpload 1.0~1.6
- Apache Commons FileUpload 2.0.0-M1~2.0.0-M4
- Apache Tomcat 11.0.0-M1~11.0.7
- Apache Tomcat 10.1.0-M1~10.1.41
- Apache Tomcat 9.0.0.M1~9.0.105
概要:
特別に細工されたリクエストでDoSを引き起こす可能性があります。
ファイルアップロードに関する機能でILPに影響いたします。
回避策:
以下のバージョンより修正対応済みのApache Tomcat 10.1.44を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-49124
https://nvd.nist.gov/vuln/detail/CVE-2025-49124
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.7
- Apache Tomcat 10.1.0-M1~10.1.41
- Apache Tomcat 9.0.0.M1~9.0.105
概要:
Windows向けTomcatインストーラーがicacls.exeを読み込む際にサイドローディングが
発生する可能性があり、任意のコードを実行される問題です。
インストール時に問題が発生しなければ問題ないかと存じますが、脆弱性の対象です。
回避策:
以下のバージョンより修正対応済みのApache Tomcat 10.1.44を使用しておりますので、
アップデートをお願いいたします。
- v8.66.00
●CVE-2025-49125
https://nvd.nist.gov/vuln/detail/CVE-2025-49125
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.7
- Apache Tomcat 10.1.0-M1~10.1.41
- Apache Tomcat 9.0.0.M1~9.0.105
概要:
Tomcatの設定でPreResourcesやPostResourcesがWebアプリケーションのルート以外に配置されている場合、
Tomcatのセキュリティ制約が回避される問題です。
通常のインストールでは変更していないため、本脆弱性の影響はありません。
●CVE-2025-46701
https://nvd.nist.gov/vuln/detail/CVE-2025-46701
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.6
- Apache Tomcat 10.1.0-M1~10.1.40
- Apache Tomcat 9.0.0.M1~9.0.104
概要:
CGIサーブレットでセキュリティ制約を回避できてしまう脆弱性です。
CGIサーブレットは利用していませんので、本脆弱性の影響はありません。
-----------------------------------------------------------------------------------
■2025年4月25日
-----------------------------------------------------------------------------------
●CVE-2025-24813
https://nvd.nist.gov/vuln/detail/cve-2025-24813
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1~11.0.2
- Apache Tomcat 10.1.0-M1~10.1.34
- Apache Tomcat 9.0.0.M1~9.0.98
概要:
InterSafe ILPではJSPを利用していないため、影響はございません。
●CVE-2024-5535
https://nvd.nist.gov/vuln/detail/cve-2024-5535
影響を受けるシステム:
- OpenSSL 1.0.2 , 1.1.1 , 3.0~3.3
概要:
openssl の該当APIを使用していないため本脆弱性の影響はありません
●CVE-2024-9143
https://nvd.nist.gov/vuln/detail/cve-2024-9143
影響を受けるシステム:
- OpenSSL 1.0.2 , 1.1.1 , 3.0~3.3
概要:
楕円曲線暗号に関する脆弱性でopenssl の該当APIを使用していないため本脆弱性の影響はありません
-----------------------------------------------------------------------------------
■2025年02月19日
-----------------------------------------------------------------------------------
●CVE-2025-1094
https://www.postgresql.org/support/security/CVE-2025-1094/
影響を受けるシステム:
- PostgreSQL 13から17まで
概要:
InterSafe ILPではpsql 及び対象となるエンコードを利用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2025年01月30日
-----------------------------------------------------------------------------------
●CVE-2024-50379
https://jvn.jp/vu/JVNVU98102314/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1から11.0.1まで
- Apache Tomcat 10.1.0-M1から10.1.33まで
- Apache Tomcat 9.0.0.M1から9.0.97まで
※ILP 8.20.00 以前にバンドルされているApache Tomcat 8.5.xは、
開発元であるApache Software Foundationのサポートが
2024年3月31日に終了しております。
お客様におかれましては、最新のILPへのバージョンアップをご検討ください。
概要:
InterSafe ILPではJSPを利用していないため、影響はございません。
●CVE-2024-50379
https://jvn.jp/vu/JVNVU98102314/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1から11.0.1まで
- Apache Tomcat 10.1.0-M1から10.1.33まで
- Apache Tomcat 9.0.0.M1から9.0.97まで
※ILP 8.20.00 以前にバンドルされているApache Tomcat 8.5.xは、
開発元であるApache Software Foundationのサポートが
2024年3月31日に終了しております。
お客様におかれましては、最新のILPへのバージョンアップをご検討ください。
概要:
サンプルWebアプリの問題でInterSafe ILPには影響はございません。
-----------------------------------------------------------------------------------
■2025年1月23日
-----------------------------------------------------------------------------------
●CVE-2024-6119
https://jvn.jp/vu/JVNVU91755094/
影響を受けるシステム:
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
概要:
証明書名のチェックを実行するアプリケーションが無効なメモリ アドレスを読み取ろうとし、
アプリケーションプロセスが異常終了する可能性があります。
ILPにおいても、X.509証明書を利用している場合、本脆弱性に該当します。
回避策:
以下のバージョンより修正対応済みのOpenSSL 3.1.7を使用しておりますので、
アップデートをお願いいたします。
- v8.63.00
-----------------------------------------------------------------------------------
■2024年12月13日
-----------------------------------------------------------------------------------
●CVE-2024-10976
https://www.postgresql.org/support/security/CVE-2024-10976/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.14
概要:
InterSafe ILPでは行セキュリティを利用していないため、影響はございません。
●CVE-2024-10978
https://www.postgresql.org/support/security/CVE-2024-10978/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.14
概要:
InterSafe ILPでは「SET ROLE, SET SESSION AUTHORIZATION」コマンドを
直接実行することはないため、影響はございません。
●CVE-2024-10979
https://www.postgresql.org/support/security/CVE-2024-10979/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.14
概要:
InterSafe ILPではPL/Perlを利用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2024年06月24日
-----------------------------------------------------------------------------------
●CVE-2024-23672、CVE-2024-24549
https://jvn.jp/vu/JVNVU99626420/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1から11.0.0-M16まで
- Apache Tomcat 10.1.0-M1から10.1.18まで
- Apache Tomcat 9.0.0-M1から9.0.85まで
- Apache Tomcat 8.5.0から8.5.98まで
概要:
InterSafe ILPではWebSocket、Http/2を使用していないため、影響はございません。
●CVE-2023-24998
https://jvn.jp/vu/JVNVU91253151/
影響を受けるシステム:
- Apache Tomcat 11.0.0-M1
- Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
- Apache Tomcat 8.5.0から8.5.84までのバージョン
概要:
InterSafe ILPではApache Tomcatのファイルアップロード機能を使用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2023年08月29日
-----------------------------------------------------------------------------------
●CVE-2023-39417
https://www.postgresql.org/support/security/CVE-2023-39417/
影響を受けるシステム:
- PostgreSQL 14.0 - 14.8
概要:
InterSafe ILPでは拡張スクリプトを使用していないため、影響はございません。
-----------------------------------------------------------------------------------
■2023年03月10日
-----------------------------------------------------------------------------------
●CVE-2023-25690,CVE-2023-27522
https://jvn.jp/vu/JVNVU94155938/
影響を受けるシステム:
- Apache HTTP Server 2.4.0 - 2.4.55
概要:
The Apache Software Foundationから、Apache HTTP Server 2.4系における
次の複数の脆弱性に対応したApache HTTP Server 2.4.56が公開されました。
・mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
・mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
・攻撃者によって、プロキシサーバのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする
・攻撃者によって、クライアントに転送されるレスポンスが切り捨てられたり、分割されたりする
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v7.50 - v8.20まで影響あり)
回避策:
後述の手順にてURLリダイレクトの設定を無効化してください。
※WorkFlowまたはFileTransporterを利用している、かつInterSafe Serverがv7.50以降でInterSafe Clientがv7.01.11以前の組み合わせで利用されている場合、
URLリダイレクトの設定を無効化することで、InterSafe Clientアイコンを右クリックして「InterSafe WorkFlowの起動」を
実施すると404エラーが出力されます。
そのため予めInterSafe Clientをv7.50以降にアップデートしたうえで、URLリダイレクトの設定を無効化してください。
■手順
1.httpd.confを下記の通り、コメントアウトします。
▼デフォルトパス
C:\Program Files\Apache Software Foundation\Apache2.4\conf\httpd.conf
▼変更箇所
(変更前)
RewriteEngine on
RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
(変更後)
#RewriteEngine on
#RewriteRule ^/?ISWorkflow/(.*)$ /ISILPWeb/$1 [R=301,L]
2.Apache2.4のサービスを再起動する。
-----------------------------------------------------------------------------------
■2023年2月17日(2023年3月3日追記)
-----------------------------------------------------------------------------------
●CVE-2006-20001,CVE-2022-36760,CVE-2022-37436
https://jvn.jp/vu/JVNVU99928083/
影響を受けるシステム:
- Apache HTTP Server 2.4.54およびそれ以前
概要:
The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。
・mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性
・mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性
・mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性がございます。
・攻撃者によって、プロセスをクラッシュされる
・攻撃者によって、悪意のあるリクエストをAJPサーバに転送される
・悪意のあるバックエンドによって、レスポンスヘッダを切り捨てられる
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v6.0 - v8.10.03まで影響あり)
回避策:
以下のバージョンよりApache HTTP Server 2.4.55を使用しておりますので、アップデートをお願いいたします。
- v8.01.06 (2023年3月3日追記)
- v8.10.04
- v8.20.00 (2023年3月3日追記)
-----------------------------------------------------------------------------------
■2022年11月17日
-----------------------------------------------------------------------------------
●CVE-2022-42252
https://jvn.jp/vu/JVNVU93003913/
影響を受けるシステム:
- Apache Tomcat 8.5.0から8.5.82までのバージョン
概要:
Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)としている場合、
無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという脆弱性が確認されています。
Apache Tomcatは不正なヘッダを含むリクエストを拒否しないため、Apache Tomcatをリバースプロキシの背後に配備している場合、
リクエストスマグリング攻撃が行われる可能性がございます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり (※InterSafe ILP v6.0 - v8.10まで影響あり)
回避策:
1.Apache, Tomcat の順にサービスを停止
2.以下のファイルを編集し、Connectorタグ内にrejectIllegalHeader属性の値を追加
(デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
【変更前】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" />
【変更後】<Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired="true" secret="2HiJBcAC9XBJ" rejectIllegalHeader="true"/>
3.Tomcat, Apache の順にサービスを開始
-----------------------------------------------------------------------------------
■2022年10月6日(2022年10月7日修正)
-----------------------------------------------------------------------------------
●CVE-2021-43980
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43980
影響を受けるシステム:
- Apache Tomcat 8.5.0から8.5.77までのバージョン
概要:
InterSafe ILPではApache-Tomcatを連携しており、Apache-Tomcat間ではHttp1.1ではなく、 AJP1.3のプロトコルを使用してるため、本脆弱性に該当いたしません。
(補足)
2022年10月6日時点では「影響あり」と記載しておりましたが、
ILPの機能としては影響ないことが確認できましたので、脆弱性に該当しない旨、記載を修正しております。
-----------------------------------------------------------------------------------
■2022年7月19日
-----------------------------------------------------------------------------------
●CVE-2022-34305
https://jvn.jp/vu/JVNVU92304549/
影響を受けるシステム:
※本脆弱性はApache Tomcatの「examples」をインストールしている場合にのみ影響があります。
InterSafe ILPのインストーラーはデフォルトではApache Tomcatの「examples」はインストールしませんので、
影響はありません。
- Apache Tomcat 10.1.0-M1から10.1.0-M16までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.22までのバージョン
- Apache Tomcat 9.0.30から9.0.64までのバージョン
- Apache Tomcat 8.5.50から8.5.81までのバージョン
概要:
Apache Tomcat のexamplesにクロスサイトスクリプティングの脆弱性が確認されています。
この脆弱性が悪用された場合、当該サンプルを使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響あり
回避策:
※InterSafe ILPのインストール時にApache Tomcatの「examples」のチェックを選択し、
インストールしている場合は以下対応方法を実施してください。
1.Apache, Tomcat の順にサービスを停止
2.以下のフォルダを削除
・Tomcat 8.5\webapps\examples
・Tomcat 8.5\work\Catalina\localhost\examples
3.Tomcat, Apache の順にサービスを開始
※サービス停止時は、オフラインログイン機能にて一部機能がご利用いただけます。
詳細は、以下FAQをご参照ください。
[ILP共通]オフラインログイン時の動作について
--------------------------------------------------------------------------------------
■2022年4月4日
--------------------------------------------------------------------------------------
●CVE-2022-22965
https://www.jpcert.or.jp/newsflash/2022040101.html
影響を受けるシステム:
- Spring Framework 5.2.0から5.2.19
- Spring Framework 5.3.0から5.3.17
概要:
InterSafe ILPでは Spring Framework を使用していないため、影響はございません。
--------------------------------------------------------------------------------------
■2021年12月17日
--------------------------------------------------------------------------------------
●CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
影響を受けるシステム:
- JMSAppenderを使用するApache Log4j 1.2
概要:
InterSafe ILPでは log4j の JMSAppender を使用していないため、影響はございません。
--------------------------------------------------------------------------------------
■2021年12月13日
--------------------------------------------------------------------------------------
●CVE-2021-44228
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
影響を受けるシステム:
- Apache Log4j 2.15.0 より前の 2 系のバージョン
概要:
InterSafe ILPではApache Log4j v1.2.17 を使用しております。
問題となっている外部への参照を行うモジュール(Lookup機能)は含まれていないため
影響はございません。
--------------------------------------------------------------------------------------
■2020年5月19日
--------------------------------------------------------------------------------------
●CVE-2020-1967
https://www.ipa.go.jp/security/ciadr/vul/alert20200423.html
影響を受けるシステム:
- OpenSSL 1.1.1d、1.1.1e および 1.1.1f
概要:
SSL および TLS の機能を提供する OpenSSL において、サービス運用妨害(DoS)の
脆弱性が確認されています。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※本脆弱性はTLS1.3に限定された脆弱性になります。
InterSafe ILPではTLS1.2までしか使用していないため、本脆弱性の影響はございません。
ILPではTLS1.3での接続はおこなっておりませんが、
接続の受け口となるapacheにてTLS1.3を除外いただく形で今回の脆弱性対策となります。
apacheのTLSv1.3無効化手順は下記の通りです。
■手順
1.httpd-ssl.confを下記の通り修正する。
▼デフォルトパス
C:\Program Files\Apache Software Foundation\Apache2.4\conf\extra\httpd-ssl.conf
▼変更箇所
(変更前)
SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3
(変更後)
SSLProtocol all -SSLv3 -TLSv1.3
SSLProxyProtocol all -SSLv3 -TLSv1.3
2.Apache2.4のサービスを再起動する。
--------------------------------------------------------------------------------------
■2020年2月25日(2020年2月27日追記)
--------------------------------------------------------------------------------------
●CVE-2020-1938
https://www.ipa.go.jp/security/ciadr/vul/alert20200225.html
対象のモジュール:
Apache Tomcat 7.0.0 から 7.0.99
Apache Tomcat 8.5.0 から 8.5.50
Apache Tomcat 8.5.0 から 8.5.50
概要:
Apache Tomcat において、意図しないファイルを読み込んでしまう脆弱性が確認されています。
この脆弱性が悪用された場合、悪意のある第三者が AJP(Apache JServ Protocol)リクエストを
送信し、Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる
可能性があります。
同社からはすでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があること
がアナウンスされているため、できるだけ早急に以下の修正を実施してください。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
1.Apache, Tomcat の順にサービスを停止
2.以下のファイルを編集
(デフォルトパス)C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml
【変更前】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>
【変更後】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="localhost"/>
3.Tomcat, Apache の順にサービスを開始
※サービス停止時は、オフラインログイン機能にて一部機能がご利用いただけます。
詳細は、以下FAQをご参照ください。
[ILP共通]オフラインログイン時の動作について
--------------------------------------------------------------------------------------
■2019年7月17日(2019年8月2日追記)
--------------------------------------------------------------------------------------
●CVE-2019-7317
https://www.ipa.go.jp/security/ciadr/vul/20190717-jre.html
対象のモジュール:
Oracle Java SE 12.0.1
Oracle Java SE 11.0.3
Oracle Java SE 8 Update 212
Oracle Java SE Embedded 8 Update 211
Oracle Java SE 7 Update 221
概要:
Oracle 社が提供する Java SE には脆弱性が存在し、攻撃者に悪用されると、
任意のコード(命令)が実行され、コンピュータを制御されるおそれがあります。
同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、
できるだけ早急に修正プログラムを適用してください。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPでは サンドボックス化されたJava Web Startアプリケーションまたは
サンドボックス化されたJavaアプレット(Java SE 8) を使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年11月1日(2018年11月7日追記)
--------------------------------------------------------------------------------------
https://jvn.jp/vu/JVNVU99875465/
対象のモジュール:
- Apache Tomcat JK mod_jk Connector 1.2.0 から 1.2.44 まで
概要:
Apache Tomcat JK mod_jk Connector は、受け取った URI を正規化して worker プロセス
との対応付けを行います。この正規化処理の部分に問題があり、細工された URI を適切に
処理できない場合があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPでは mod_jk Connector を使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年8月23日(2018年8月29日追記)
--------------------------------------------------------------------------------------
●CVE-2018-11776(S2-057)
https://www.jpcert.or.jp/at/2018/at180036.html
対象のApache Struts リリース:
- Apache Struts 2
- 2.3 系列 2.3.35 より前のバージョン
- 2.5 系列 2.5.17 より前のバージョン
概要:
遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2
が動作するサーバにおいて、任意のコードが実行する可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ ILPではApache Struts 2使用していないため、いずれも影響ありません。
--------------------------------------------------------------------------------------
■2018年7月23日(2018年7月27日追記)
--------------------------------------------------------------------------------------
●CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037
https://www.jpcert.or.jp/at/2018/at180030.html
対象のTomcatリリース:
- CVE-2018-1336
- Apache Tomcat 9.0.0.M9 から 9.0.7
- Apache Tomcat 8.5.0 から 8.5.30
- Apache Tomcat 8.0.0.RC1 から 8.0.51
- Apache Tomcat 7.0.28 から 7.0.86
- CVE-2018-8034
- Apache Tomcat 9.0.0.M1 から 9.0.9
- Apache Tomcat 8.5.0 から 8.5.31
- Apache Tomcat 8.0.0.RC1 から 8.0.52
- Apache Tomcat 7.0.35 から 7.0.88
- CVE-2018-8037
- Apache Tomcat 9.0.0.M9 から 9.0.9
- Apache Tomcat 8.5.5 から 8.5.31
概要:
各脆弱性について、それぞれ以下の可能性があります。
・サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
・既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
・中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ いずれもILPでは使用していません。
--------------------------------------------------------------------------------------
■2017年9月25日(2017年10月11日更新)
--------------------------------------------------------------------------------------
●CVE-2017-12615 、 CVE-2017-12616および CVE-2017-12617
https://www.jpcert.or.jp/at/2017/at170038.html
対象のTomcatリリース:
- CVE-2017-12615
- Apache Tomcat 7.0.0 から 7.0.79
- CVE-2017-12616
- Apache Tomcat 7.0.0 から 7.0.80
- CVE-2017-12617
- Apache Tomcat 9.0.0.M1 から 9.0.0
- Apache Tomcat 8.5.0 から 8.5.22
- Apache Tomcat 8.0.0.RC1 から 8.0.46
- Apache Tomcat 7.0.0 から 7.0.81
概要:
Windows で利用している Apache Tomcatにおいて、readonly パラメータをfalse に
設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエスト
を受けることで、遠隔から任意のコードが実行される可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響なし
・InterSafe ILP : 影響なし
※ いずれもreadonly パラメータは使用していませんので、true(デフォルト値)で動作しています。
--------------------------------------------------------------------------------------
■2017年6月07日(2017年6月14日追記)
--------------------------------------------------------------------------------------
●CVE-2017-5664
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.43
Apache Tomcat 7.0.0 to 7.0.77
概要:
細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる
可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5647
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.42
Apache Tomcat 7.0.0 to 7.0.76
概要:
NIO(Non-Blocking I/O)を利用してファイルをクライアントに送信する時
別のリクエストで要求したファイルを誤送信してしまう可能性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5648
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648
対象のTomcatリリース:
Apache Tomcat 8.0.0.RC1 to 8.0.42
Apache Tomcat 7.0.0 to 7.0.76
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP : 影響あり
概要:
Tomcat上でILP以外のWebアプリケーションを配備した際に
そのWebアプリケーションからILPの情報にアクセス出来る可能性があります。
回避策:
添付の資料に沿ってApache Tomcat をバージョンアップしてください。
●CVE-2017-5650
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650
脆弱性の影響はございません。
●CVE-2017-5651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651
脆弱性の影響はございません。
--------------------------------------------------------------------------------------
■2014年6月5日(2014年6月9日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
●CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
●CVE-2014-0221
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
●CVE-2014-0195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
●CVE-2014-0198
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198
●CVE-2010-5298
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298
●CVE-2014-3470
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
これらの脆弱性による影響はございません。
--------------------------------------------------------------------------------------
■2014年6月2日(2014年6月2日追記)
--------------------------------------------------------------------------------------
●CVE-2014-0075 Denial of Service
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
チャンク化リクエストの一部に奇形のチャンクサイズを技巧することにより、
無制限のデータをサーバに流し込むことで、サイズ制限をバイパスして
リクエストを強制することができてしまいます。
これによりサービス拒否が引き起こされてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0096 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
デフォルトのサーブレットではWebアプリケーションは
ディレクトリ一覧をフォーマットするためのXSLTを定義できます。
セキュリティマネージャの下で実行しているとき、これらはWeb
アプリケーションとは異なるサブジェクトで実行可能です。
これによりこれにより悪意のあるWebアプリケーションは外部の
XMLエンティティを利用してセキュリティマネージャによる制限を
適用することで通常のファイルアクセス制限をバイパスできてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0099 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
リクエストのコンテンツ長のヘッダーをパースするコードが
オーバーフローをチェックしていません。これによりTomcatが
コンテンツ長のヘッダーを正しく処理するリバースプロキシーの
後に配置されたときにリクエスト密輸の脆弱性があります。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
●CVE-2014-0119 Information Disclosure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119
対象のTomcatリリース:
Apache Tomcat 8.0.0-RC1 to 8.0.3
Apache Tomcat 7.0.0 to 7.0.52
Apache Tomcat 6.0.0 to 6.0.39
概要:
ある制限された状況下では、デフォルトのサーブレット、
JSPドキュメント、タグライブラリデスクリプタ(TLD)
およびタグプラグイン構成ファイルのためのXSLT処理を行う
Tomcatにより利用されるXMLパーサを、悪意のあるWebアプリ
ケーションは置き換えてしまうことが可能です。
注入されたXMLパーサはXML外部エンティティに対して制限を
バイパスできてしまい、これにより同一Tomcatインスタンス上に
デプロイされた他のWebアプリケーションのために処理されている
XMLファイルが表示できてしまいます。
情報漏洩対策シリーズにおける影響を受ける対象製品:
・InterSafe SecureDevice Standard : 影響なし
・InterSafe SecureDevice Professional : 影響あり
・InterSafe ILP v1.0.0~v4.00.02 : 影響あり
回避策:
添付の手順に沿ってApache Tomcatのバージョンアップを行って下さい。
InterSafe ILP v4.02.00 には、Tomcat 7.0.54 を同梱しています。
--------------------------------------------------------------------------------------
■2014年4月28日(2014年4月28日追記)
--------------------------------------------------------------------------------------
1. Apache Struts2/Apache Struts1 の脆弱性(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)(CVE-2016-3081)(CVE-2017-5638)
下記製品ではStruts を使用していませんので、影響はありません。
DocumentSecurity
InterSafe SecureDevive
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
2. Open-SSL脆弱性(Heartbleed Bug/CVE-2014-0160)※対象バージョンはOpenSSL 1.0.1 から 1.0.1f (inclusive)
以下製品では当該バージョンを使用していませんので、影響はありません。
DocumentSecurity
InterSafe SecureDevive
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
3. POODLE(Padding Oracle On Downgraded Legacy Encryption)
ILPServerの通信プロトコルはデフォルト設定でHTTPですので、デフォルトの
ままご利用されている場合は、影響がありませんが、HTTPSプロトコル
を使用されている場合は本脆弱性の影響があります。
該当されるお客様は、以下の手順でSSLv3の利用を停止してください。
3-1. SSLv3停止方法
3-1-1.設定ファイルを以下のように「-SSLv3」を追加します。
{apache2.2インストール先(※)}\conf\extra\httpd-ssl.conf
-----------------------------------
# SSL Protocol support:
SSLProtocol all -SSLv2 -SSLv3
-----------------------------------
※デフォルト:C:\Program Files (x86)\Apache Software Foundation\Apache2.2\
3-1-2.apache2.2サービスを再起動すれば終了です。
3-2. SSLv3.0を無効化したことで、ILPServerへ接続できなくなった場合は
ブラウザのオプション設定にてTLS 1.0 を有効にしてください。
3-2-1. TLSの設定
IE はデフォルトで有効になっていますが、
「ツール」⇒「インターネットオプション」⇒「詳細設定」
タブにて「TLS 1.0 を使用する」にチェックを入れて下さい。
3-2-2. 終了です。
【対象製品】
InterSafe SecureDevive Ultimate
(Standard版及びProfessional版には影響はありません。)
InterSafe DeviceControl
InterSafe WorkFlow
InterSafe IRM
InterSafe SecurePDF
--------------------------------------------------------------------------------------
対象バージョン
対象ビルド
カテゴリ
一般情報
関連するご質問
- よくあるご質問
- 詳細