ページの先頭です。
ここから本文です。

お知らせ

[WebOTX Portal] Apache Commons FileUpload の脆弱性(CVE-2016-3092) とクリックジャッキング攻撃が実行される脆弱性(CVE-2015-4266)の影響と対策について

概要

Apache Commons FileUpload には、次の脆弱性が存在します。

(CVE-2016-3092):サービス運用妨害 (DoS) の脆弱性

WebOTX Portal では、Apache Commons FileUpload を同梱しているため、上記 Apache Commons FileUpload の脆弱性の影響があります。

また、WebOTX Portal は、次の脆弱性の影響があります。

(CVE-2015-4266):クリックジャッキング攻撃が実行される脆弱性

影響のある製品

  • WebOTX Portal V8.3~V9.3

詳細

【CVE-2016-3092】
Apache Commons FileUpload のマルチパートリクエストの処理の問題により、サービス運用妨害(DoS)状態となる脆弱性。(JVN#89379547)
メニューポートレット、お知らせポートレットを利用している場合に発生する可能性があります。

【CVE-2015-4266】
外部のサイトがポータルサイトをフレーム内に不可視状態で表示することで、意図しない操作を誘導するクリックジャッキング攻撃が実行される脆弱性。(JVN#48135658)

対処方法

本脆弱性を修正した、WebOTX Portal のパッチを以下に公開しています。
WebOTX Portal パッチモジュール (CVE-2016-3092,CVE-2015-4266)
最新バージョンから順次公開いたします。
急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

回避方法

【CVE-2016-3092】
メニューポートレット、お知らせポートレットをポータル画面上に表示しないことで回避出来ます。

【CVE-2015-4266】
ご利用の Webサーバ(IISもしくはApache)にて、X-Frame-Options ヘッダをすべてのページで送信するように設定することで回避出来ます。

関連情報

本脆弱性問題の詳細は、次のURLを参照してください。

【CVE-2016-3092】
CVE-2016-3092
JVN#89379547 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

【CVE-2015-4266】
CVE-2015-4266
JVN#48135658 複数のルータ製品におけるクリックジャッキングの脆弱性

更新履歴

2018/02/09 第2版 影響のある製品をWebOTX Portal V8.3~9.3に変更
2017/11/01 初版

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Portal

  • コンテンツID: 3010102287
  • 公開日: 2018年01月11日
  • 最終更新日:2018年02月15日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。