ページの先頭です。
ここから本文です。

お知らせ

[WebOTX]Apache Struts 1の脆弱性(CVE-2016-1181,CVE-2016-1182)への影響と対策について

概要

Apache Struts 1には以下の二つの脆弱性が存在します。

  • ActionForm機能に起因する、サーバのメモリ上にあるコンポーネントを操作可能な脆弱性(CVE-2016-1181)
  • Validator機能に起因する、入力値検証に関する設定を外部から変更可能な脆弱性(CVE-2016-1182)

影響のある製品

  • WebOTX RFID Manager Enterprise V7.1
  • RFID Manager Standard V2.0
  • RFID Manager Lite V2.0

(※)他のWebOTX製品は本脆弱性の影響を受けません。

詳細

  • CVE-2016-1181の脆弱性の影響
    サービス運用妨害(DoS)攻撃を受ける可能性があります。または上述の製品が動作しているサーバ上で、情報を抜き取られたり、任意のコードを実行される可能性があります。
  • CVE-2016-1182の脆弱性の影響
    入力値検証に関する設定の改ざんにより、クロスサイトスクリプティング(XSS)やサービス運用妨害(DoS)攻撃を受ける可能性があります。

対処方法

アクセス元のIPアドレスを最小限に制限することで被害最小化に向けた対策を行ってください。
デフォルトではファイアウォールの例外設定を変更しないため、ファイアウォールが有効な場合、既定ではローカルホストからのみアクセス可能な設定となっています。
ファイアウォールの例外設定を行っている場合は、管理用コンソール(WebUI)のポート番号(既定値では28080)についてのファイアウォール設定が最小限のアクセス許可であることを確認し、必要に応じて設定を変更してください。
ファイアウォール設定の確認・変更方法は各OSの説明書を参照してください。

回避方法

ありません。

関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

備考

ご利用のWebアプリケーションが脆弱性のあるApache Struts 1を利用しており、かつActionForm機能またはValidator機能を使用している場合、ご利用のWebOTXの製品、バージョンに関係なく、該当のWebアプリケーションについて対策が必要となります。

更新履歴

2016/7/8 初版

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server

  • コンテンツID: 3010101757
  • 公開日: 2016年07月08日
  • 最終更新日:2016年07月08日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。