[Event]
In June 2016, the vulnerability (CVE-2016-3092) was discovered in Apache Commons FileUpload, provided by the Apache Software Foundation, which could result in a Denial of Service (DoS) by processing wrought requests.

There are products that use Apache Commons FileUpload in IM-ScureSignOn for Accel Platform, so the handling method will be described below.

[Handling method]
1. Apache Tomcat support
  The Apache Tomcat used in the Web wrapper management tool is checked for the effects of this vulnerability and the Apache Tomcat is upgraded as necessary.
　　1.1 Determining whether or not to support this vulnerability
　　  (1) Web wrapper 4.5.0 or earlier
      Apache Tomcat 5.0.28 is included in the package.
      It is not possible to update only the included Apache Tomcat, so you will need to prepare a vulnerability-supported version of Apache Tomcat and upgrade the Web wrapper to address the issue.
  
　　(2) Web wrapper 4.6.0 or later
　　　 Using the Apache Tomcat prepared at the time of web wrapper installation.
 　　　Check the version of Apache Tomcat prepared at the time of installation, and then check the information published by the Apache Tomcat provider to see if this vulnerability applies to your products.
           
           https://tomcat.apache.org/security.html (English)

　　　·If you are using a non-vulnerable version of Apache Tomcat, you do not need to update Apache Tomcat.
　　   ·As it is not possible to update only Apache Tomcat, you need to prepare a vulnerability-supported version of Apache Tomcat and reinstall (upgrade) the web wrapper if you are use vulnerable version.
　
　1.2 Upgrading
　　If you need to address an issue of Apache Tomcat, refer to the Web wrapper version upgrade manual and update to a version that meets the following conditions
　　Web wrapper 4.6.0 or later

　　　·This vulnerable version of Apache Tomcat
　　　·The services provided by the Web wrapper will stop when the upgrade is done. 

2. Web wrapper management tool support
Apache Commons FileUpload is included in the library included with the Web wrapper management tool, so follow the procedure below.

　　 2.1 Stopping the Web wrapper management tool
　　Stop the Web wrapper tool in the target environment.
　　See “5.1 Start and Stop the Web Wrapper Management Tool” in “Web Wrapper V4.x.x – Installation/Configuration Manual” which is included in the Web wrapper for the stopping procedure.
Services provided by the Web wrapper can still be used even if the Web wrapper management tool is stopped.

　　 2.2 Deleting Apache Commons FileUpload
 　　Delete the following files under the Web wrapper management tool installation directory in the target environment.
　　[For Windows]
　　  {Web wrapper management tool installation directory} {WEB-INF\blind\commons-fileupload.jar

　　[For Unix]
　　 {Web wrapper management tool installation directory}/WEB-INF/lib/commons-fileupload.jar

 　　2.3 Starting the Web wrapper management tool
　　Start the Web wrapper management tool in the target environment.

-- Target ----------------------------------------------------------------------------------
iAP/Accel Extensions/IM-SecureSignOn for Accel Platform/All Updates
----------------------------------------------------------------------------------------------



FAQID:615