【现象】
2016年6月，通过处理Apache Software Foundation提供的Apache Commons FileUpload的精细请求，结果发现了可能引起拒绝服务(DoS) 的漏洞(CVE-2016-3092) 。

在IM-ScureSignOn for Accel Platform中也有使用Apache Commons FileUpload的产品，因此说明处理方法。

【解决方法】
1. Apache Tomcat的解决
  确认Web Wrapper管理工具中所使用的Apache Tomcat 是否受此漏洞的影响，并根据需要进行Apache Tomcat的版本升级。
　　1.1 判断是否需要处理
 　 (1) Web Wrapper4.5.0及之前版本
      打包了Apache Tomcat 5.0.28 。
      由于仅打包的Apache Tomcat可以更新，请提供解决漏洞版的Apache Tomcat ，并通过Web Wrapper的版本升级来进行解决。

　  (2) Web Wrapper4.6.0及之后版本
      使用了安装Web Wrapper时提供的Apache Tomcat。
      请确认安装时提供的Apache Tomcat的版本，并通过Apache Tomcat供应商公开的信息来确认是否存在此漏洞。

           https://tomcat.apache.org/security.html（英语）

　　　・使用不存在漏洞的版本时，不需要解决Apache Tomcat。
　　　・使用存在漏洞的版本时，由于仅Apache Tomcat可以更新，请提供解决漏洞版的Apache Tomcat ，并通过重新安装Web Wrapper（版本升级）来进行解决。

　　1.2 版本升级
　　需要解决Apache Tomcat时，请参阅Web Wrapper的版本升级步骤书，将其更新为满足以下条件的版本。
　　Web Wrapper 4.6.0及之后版本

　　　・Apache Tomcat 解决此漏洞的版本
　　　・进行版本升级时，停止Web Wrapper提供的服务。

2. Web Wrapper管理工具的解决
由于在Web Wrapper管理工具打包的库中包含Apache Commons FileUpload，因此通过以下步骤来进行解决。

　　 2.1 停止Web Wrapper管理工具
        停止对象环境的Web Wrapper管理工具。
        有关停止步骤，请参阅Web Wrapper附属的“Web WrapperV4.x.x -安装/设置手册”的“5.1 Web Wrapper管理工具的启动和停止”。
另外，即使停止Web Wrapper管理工具，也可以使用Web Wrapper提供的服务。

　　 2.2 删除Apache Commons FileUpload
         删除对象环境的Web Wrapper管理工具安装目录下级的以下文件。
　　【使用Windows时】         
　　 {Web Wrapper管理工具安装目录}\WEB-INF\lib\commons-fileupload.jar

　　【使用Unix时】
　　 {Web Wrapper管理工具安装目录}/WEB-INF/lib/commons-fileupload.jar

　　 2.3 启动Web Wrapper管理工具
　　启动对象环境的Web Wrapper管理工具。

-- 适用对象 ------------------------------------------------------------------------------------
iAP/Accel Extensions/IM-SecureSignOn for Accel Platform/所有更新版本
----------------------------------------------------------------------------------------------------

FAQID:615