- トップ >
- 製品・サービス >
- biz-Stream >
- サポート情報 >
- Apache Struts脆弱性に関するbiz-Streamの対処方法に関して(biz-Stream Webサービスサーバ・専用サーバ)
Apache Struts脆弱性に関するbiz-Streamの対処方法に関して(biz-Stream Webサービスサーバ・専用サーバ)
2014年04月28日
Apache Struts脆弱性に対して、biz-Streamの対処方法をお知らせいたします。
【対象】 biz-Stream v4.8以前の Webサービスサーバ/専用サーバ
1 概要
以下にて公開されました Apache Struts の脆弱性に関して、biz-Stream Webサービスサーバ及び専用サーバの対処方法をお知らせいたします。
biz-Stream では Apache Struts 1 のみ使用しています。Apache Struts 2 は未使用です。
- 更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
:IPA 独立行政法人 情報処理推進機構 - JVN#03188560: Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性
- JVN#65044642: Apache Struts 1 における入力値検証機能に関する脆弱性
- Announcements : The Apache Software Foundation.
対象は、biz-Stream v4.8以前の以下のインターフェイスとなります。
- biz-Stream Webサービスサーバ
- biz-Stream 専用サーバ
上記 biz-Stream Webサービスサーバ/専用サーバ のWeb管理機能にて Apache Struts を使用しています。このため、悪意を持ったユーザにWeb管理機能を利用されないように、Web管理機能アプリケーションの削除 または アクセスの抑止をお願いいたします。
お使いのインターフェイス及びバージョンにより対処方法が異なりますので、以下をご参照のうえ対処をお願いいたします。
- biz-Stream v4.8 にてWebサービスサーバの管理機能 及び 専用サーバインターフェイスが廃止となりましたので、biz-Stream v4.8 以降をご利用の場合は対処不要です
- Webサービスサーバ(バージョン4.4.0以降)をお使いの場合
- Webサービスサーバ(バージョン4.4.0以前)をお使いの場合
- 専用サーバをお使いの場合
biz-Streamの以下のモジュールはApache Struts未使用のため対象外です。
- biz-Stream ライブラリ(Javaクラスライブラリ)
- レイアウト・デザイナ、レイアウト・デザイナ for Excel
- COMインターフェイス
- ダイレクト印刷(クライアント版・ActiveX版 モジュール)
- バッチ印刷モジュール
- 専用サーバクライアントモジュール
2 Webサービスサーバ(バージョン4.4.0~4.7.x)をお使いの場合
以下の 【対処策1】 または 【対処策2】 を実施してください。
【対処策1】 Web管理機能の削除
以下の手順でWeb管理機能を削除してください。
なお、文中に記載してある<bsws_server_home>につきましては「biz-Stream v4.X Webサービスサーバ ユーザガイド」の「2.1 biz-Stream Webサービスサーバのインストール」をご参照ください。
●Windowsの場合
- Tomcatを停止する
スタートメニューのApache Tomcat 6.0 → Monitor Tomcatをクリックし、表示されたApache Tomcat Propertiesパネルの[Stop]ボタンを押します。 - Web管理機能を削除する
<bsws_server_home>\webappsフォルダ以下に存在する
・bsadmin2.warファイル
・bsadmin2フォルダ
の2つをバックアップを取得の上、削除します。 - Tomcatを起動する
スタートメニューのApache Tomcat 6.0 → Monitor Tomcatをクリックし、表示されたApache Tomcat Propertiesパネルの[Start]ボタンを押します。
●Linux/UNIXの場合
- Tomcatを停止する
<bsws_server_home>/bin/shutdown.shファイルを実行します。 - Web管理機能を削除する
<bsws_server_home>/webappsディレクトリ以下に存在する
・bsadmin2.warファイル
・bsadmin2ディレクトリ
の2つをバックアップを取得の上、削除します。 - Tomcatを起動する
<bsws_server_home>/bin/startup.shファイルを実行します。
上記設定終了後 Webブラウザで以下のURLにアクセスし、Web管理機能にアクセスできないことを確認してください。
http://ホスト名:ポート番号/bsadmin2/
(例) http://bssrv:8080/bsadmin2/
【対処策2】 Web管理機能へのアクセスを制限する
悪意を持ったユーザがWeb管理機能へアクセスできる状態にある場合は、 お使いのファイアーウォール等の設定で以下のURLへのアクセスを制限するようにしてください。
http://ホスト名:ポート番号/bsadmin2/
(例) http://bssrv:8080/bsadmin2/
3 Webサービスサーバ(バージョン4.4.0以前)をお使いの場合
以下の 【対処策1】 または 【対処策2】 を実施してください。
【対処策1】 Web管理機能の削除
以下の手順でWeb管理機能を削除してください。
なお、文中に記載してある<bsws_server_home>につきましては「biz-Stream v4.X Webサービスサーバ ユーザガイド」の「2.1 biz-Stream Webサービスサーバのインストール」をご参照ください。
●Windowsの場合
- Tomcatを停止する
スタートメニューのApache Tomcat 5.5 → Monitor Tomcatをクリックし、表示されたApache Tomcat Propertiesパネルの[Stop]ボタンを押します。 - Web管理機能を削除する
<bsws_server_home>\webappsフォルダ以下に存在する
・bsadmin2.warファイル
・bsadmin2フォルダ
の2つをバックアップを取得の上、削除します。 - Tomcatを起動する
スタートメニューのApache Tomcat 5.5 → Monitor Tomcatをクリックし、表示されたApache Tomcat Propertiesパネルの[Start]ボタンを押します。
●Linux/UNIXの場合
- Tomcatを停止する
<bsws_server_home>/bin/shutdown.shファイルを実行します。 - Web管理機能を削除する
<bsws_server_home>/webappsディレクトリ以下に存在する
・bsadmin2.warファイル
・bsadmin2ディレクトリ
の2つをバックアップを取得の上、削除します。 - Tomcatを起動する
<bsws_server_home>/bin/startup.shファイルを実行します。
上記設定終了後 Webブラウザで以下のURLにアクセスし、Web管理機能にアクセスできないことを確認してください。
http://ホスト名:ポート番号/bsadmin2/
(例) http://bssrv:8080/bsadmin2/
【対処策2】 Web管理機能へのアクセスを制限する
悪意を持ったユーザがWeb管理機能へアクセスできる状態にある場合は、 お使いのファイアーウォール等の設定で以下のURLへのアクセスを制限するようにしてください。
http://ホスト名:ポート番号/bsadmin2/
(例) http://bssrv:8080/bsadmin2/
4 専用サーバをお使いの場合
以下の 【対処策1】 または 【対処策2】 を実施してください。
【対処策1】 Web管理機能の削除
以下の手順でWeb管理機能を削除してください。
なお、文中に記載してある<bsserver_home>につきましては「biz-Stream v4.X 専用サーバ ユーザガイド」の「2.1 biz-Stream 専用サーバのインストールについて」をご参照ください。
●Windowsの場合
- Tomcatを停止する
スタートメニューのApache Tomcat 5.5 → Monitor Tomcatをクリックし、表示されたApache Tomcat Propertiesパネルの[Stop]ボタンを押します。 - Web管理機能を削除する
<bsserver_home>\webappsフォルダ以下に存在する
・bsadmin.warファイル
・bsadminフォルダ
の2つをバックアップを取得の上、削除します。 - Tomcatを起動する
スタートメニューのApache Tomcat 5.5 → Monitor Tomcatをクリックし、表示されたApache Tomcat Propertiesパネルの[Start]ボタンを押します。
●Linux/UNIXの場合
- Tomcatを停止する
<bsserver_home>/bin/shutdown.shファイルを実行します。 - Web管理機能を削除する
<bsserver_home>/webappsディレクトリ以下に存在する
・bsadmin.warファイル
・bsadminディレクトリ
の2つをバックアップを取得の上、削除します。 - Tomcatを起動する
<bsserver_home>/bin/startup.shファイルを実行します。
上記設定終了後 Webブラウザで以下のURLにアクセスし、Web管理機能にアクセスできないことを確認してください。
http://ホスト名:ポート番号/bsadmin/
(例) http://bssrv:8080/bsadmin/
【対処策2】 Web管理機能へのアクセスを制限する
悪意を持ったユーザがWeb管理機能へアクセスできる状態にある場合は、 お使いのファイアーウォール等の設定で以下のURLへのアクセスを制限するようにしてください。
http://ホスト名:ポート番号/bsadmin/
(例) http://bssrv:8080/bsadmin/
5 対処後の機能制限
上記の【対処策1】 の方法でWeb管理機能を削除された場合は、Web管理機能がご利用できなくなります。
帳票出力機能は引き続きご利用できます。
ただし、【対処策1】 の方法でTomcatが停止している間は帳票出力が行えませんのでご注意ください。
6 Web管理機能の代替処理
biz-Stream Webサービスサーバ/専用サーバ のWeb管理機能で設定及び参照可能な項目は、ほぼ直接ファイルを編集及び参照することが可能です。このため、設定ファイルの直接編集及び参照をお願いいたします。
設定項目に該当するファイル等でご不明な点がありましたら、弊社テクニカルサポートまでお問い合わせください。
7 今後の対応方針
biz-Stream Webサービスサーバ/専用サービスサーバのWeb管理機能に関しての今後の対処方法に関して、進捗がありましたら、このページにて公開いたします。
8 変更履歴
-
- ● 2014/04/30
- 「6 Web管理機能の代替処理」 及び 「7 今後の対応方針」 の追加
- ● 2016/06/09
- biz-Stream v4.8で Webサービスサーバの管理機能 及び専用サーバインターフェイス廃止に伴い、v4.8以降は対象外の記述を追加
- Apache Struts 2 は対象外の記述を追加