Apache Struts 2において、DMI(Dynamic Method Invocation)機能に起因するセキュリティ脆弱性(CVE-2016-3081)が報告されています。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

ありません。

WebOTX Developer V9.2-9.4(with Developer's Studio のみ)ではApache Struts 2.3.16.3 を含んだサンプルを提供していますが、DMI機能を利用しておらず、 本脆弱性の対象バージョン(2.3.20 から 2.3.28)には該当しないため、影響はありません。
また、WebOTX製品(および関連製品)において、上記のサンプルを除いてApache Struts 2は利用しておりません。

対処不要です。

ありません。

本脆弱性問題の詳細は、以下のURLを参照してください。

• JPCERT/CC
  Japan Vulnerability Notes JVNVU#91375252
  http://jvn.jp/vu/JVNVU91375252/index.html
• CVE-2016-3081
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081
• IPA
  Apache Struts 2 の脆弱性対策について(CVE-2016-3081)(S2-032)
  https://www.ipa.go.jp/security/ciadr/vul/20160427-struts.html

ご利用のWebアプリケーションに脆弱性のあるApache Struts 2が含まれ、かつDMI機能を有効化している場合には、 WebOTX Application Serverのバージョンに関係なく、該当のWebアプリケーションについて対策が必要となります。

2016/5/12 初版

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。