2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

iAutolayMagic 技術情報

iAutolayMagic に関する注意事項やトラブル発生時の対処方法などをご紹介します。 ご利用には製品ユーザー登録が必要です。 技術情報コード バージョン 対象プラットフォーム タイトル カテゴリ iAutolayMagic-005 すべて すべて 2015 年 4 月 15 日に発表された HTTP.sysの脆弱性(3042553)への対 応について Web アプリ iAutolayMagic-002 すべて すべて 2014 年 10 月 14 日に発表されたマ イクロソフト社製SSL3.0 の脆弱性へ の対応について Web アプリ iAutolayMagic-004 すべて すべて 組版における不具合解消のためのパッ チ 出力 iAutolayMagic-001 すべて すべて PDF作成における不具合解消のための パッチ発行ついて 出力

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性(3042553)へ

の対応について

製品名： iAutolayMagic バージョン： すべて 対象プラットフォーム： すべて カテゴリ： Web アプリ この度、マイクロソフト社製品において緊急度の高い脆弱性(CVE-2015-1635)が発見されましたのでご案内させて頂きます。 記 ■該当製品 ･ iAutolayMagic システム版 ･ iAutolayMagic モジュール版 ■対策

Microsoft Update、Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。（パッチ ID KB3042553） ※下記パッチ適応時には、再起動が必要になりますので再起動可能なタイミングにて対応いただけますようにお願い申し上げます。 ＜脆弱性の概要＞ 影響を受ける Windows システムに対して攻撃者が特別に細工された HTTP 要求を送信した場合に、リモートでコードが実行され る脆弱性が見つかりました。 2015 年 4 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/library/security/ms15-apr [想定される攻撃シナリオ] 遠隔の第三者が細工した HTTP リクエストを IIS サーバ に送ることで、バッファオーバフローを発生させ、結果としてサービス不 能状態に陥ります。

[影響を受ける製品] iAutolayMagic Web-Server

Windows Server 2008 R2 または、Windows Server 2012/2012 R2

[対策方法] 対象のセキュリティ更新プログラム HTTP.sys の脆弱性により、リモートでコードが実行される (3042553) https://technet.microsoft.com/library/security/ms15-034 パッチID KB3042553 適用方法 コントロールパネルから「WindowsUpdate」を選択し、「更新プログラムの確認」 を実施しした後、「インストールする更新プログラム」にて「KB3042553」を含め 「更新プログラムのインストール」を実施します。 [参考情報] JPCERT/CC 2015 年4 月 Microsoft セキュリティ情報 (緊急 4 件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150009.html

2014 年 10 月 14 日に発表されたマイクロソフト社製 SSL3.0 の脆

弱性への対応について

製品名： iAutolayMagic バージョン： すべて 対象プラットフォーム： すべて カテゴリ： Web アプリ マイクロソフト社より、SSL3.0 に脆弱性があるとの発表がありました。 SSL3.0 は、Web 利用時の暗号化通信の手段の一つですが、この問題により、暗号化された情報が解読され、通信内容を盗聴される 恐れがあります。 現時点ではマイクロソフトから本件の根本対策が発表されていないため、以下のような暫定対策を実施していただきますようにお願 い申し上げます。 記 ■該当製品 ･ iAutolayMagic システム版 ･ WAS ･ 添文x-Magic ■暫定対策 該当製品を稼動しているサーバーのSSL2.0、SSL3.0 の通信を無効にします。 無効にする手順は、後述【SSL2.0、SSL3.0 を無効にする手順】をご覧のうえ、実施してください。 ＜暫定対策適応時の留意点＞ 暗号化の手段には、SSL とTLS があります。 本回避策適応後、暗号通信を使う場合は、TLS が使用されます。 一般的なブラウザはデフォルトでTLS が有効になっているため、設定変更等は不要です。 ※参考 マイクロソフト公式サイト https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

マイクロソフト社から「SSL3.0 の脆弱性」と言う名称で報告されていますが、SSL 全般に脆弱性があり、SSL2.0 及び SSL3.0 に て対処する必要があるという内容です。

SSL2.0/SSL3.0 を無効にする手順

マイクロソフト社より SSL3.0 に脆弱性があるとの発表があり、現状ではセキュリティ更新プログラムが配布されていないため、使 用しているIIS のSSL2.0 およびSSL3.0 の機能を無効にする必要があります。その対応手順をご説明します。 まずはサーバーでの設定を実施し、その後サイトをご利用になるすべてのお客様での設定が必要になります。 ■対象OS 対象OS は以下のものです。

Windows Server 2003 (32bit)、 Windows Server 2008 (32bit)、 Windows Server 2008 R2 (64bit)、 Windows Server 2012 (64bit)

1. 手順 IIS のSSL2.0 およびSSL3.0 の機能を無効にする手順についてご説明します。 （１）管理者権限のあるユーザーでログインします。 （２）SSL23 停止.ZIP をデスクトップ等にダウンロードして解凍します。 ダウンロードコンテンツの各製品のその他から【IIS の SSL2.0 および SSL3.0 の機能を無効にする】からダウンロードして ください。 （３）解凍されたSSL23 停止.reg をダブルクリックします。 以下のような画面が表示される場合がありますが、「はい」を押して続行してください。 以下の画面が表示されれば、正常に設定できました。OK ボタンをクリックしてください。

（４）サーバーOS の再起動を行ってください。

2. 確認方法

以下の2 つの手順で、SSL2.0 およびSSL3.0 が無効な状態でサーバーにアクセスしていることの確認ができます。

（１）サーバーへアクセスできるブラウザにて、TLS1.0 以降の使用を無効、SSL2.0、SSL3.0 を有効に設定してください。 ※IE9.0 の設定画面

該当サーバーへ「https」を使用してアクセスし、アクセスできない事をご確認ください。

（２）サーバーへアクセスできるブラウザにて、TLS1.0 以降のいずれかを有効に設定してください。 SSL は有効のままで構いません。

※IE9.0 の設定画面

組版における不具合解消のためのパッチ

製品名： iAutolayMagic バージョン： すべて 対象プラットフォーム： すべて カテゴリ： 出力 平素は格別のご高配を賜り、厚く御礼申し上げます。 「2 ページ目以降（主に裏面ページ）データ中の半角スペースが組版されない。」が発生しています。 つきましては、対策版への差し替えをお願い致します。 ●発生する現象 「2 ページ目以降（主に裏面ページ）データ中の半角スペースが組版されない。」が発生しています。 「AAA BBB」が「AAABBB」と組版される事があります。 ●原因 組版エンジン(layeng.dl)に不具合がありました。 ●対象バージョン iAM システム版 V1.1.3 以前のバージョン ●対策モジュールのインストール方法

Web サーバー上のC:\Program Files\FFGS\FormMagic4\win にあるlayeng.dll を新しいバージョンに差し替えます。 対策モジュールおよび資料は、製品サポート／ダウンロードから入手してください。

PDF 作成における不具合解消のためのパッチ発行ついて

製品名： iAutolayMagic バージョン： すべて 対象プラットフォーム： すべて カテゴリ： 出力 平素は格別のご高配を賜り、厚く御礼申し上げます。 iAutolayMagic の Web サーバー上に存在する PDF 作成モジュールにて「PDF 出力において文字が別の文字に置き変わる症状」が 発生しています。 つきましては、対策版への差し替えをお願い致します。 ●発生する現象 PDF の作成において、文字が別の文字に置き変わる症状（本来の入力ファイルの文字でない文字で PDF が出力される事）が発生す る場合があります。 本現象は、同じデータで同じ操作を実施して発生したりしなかったりします。 弊社テストでは名刺データにて、同じ操作を繰り返した結果、1000 回に 3 回発生しています。 ●原因 本現象は PDF を作成する際に PDF を生成するコンバータ(XPFPDF.exe)の変数の初期化部分に不備があり上記現象が発生します。 メモリーの状況によって発生したりしなかったりするものです。 ●対象バージョン

Web サーバー上のC:\inetpub\wwwroot\iautsys\libs のXPFPDF.exe のバージョンが1.5.0.14 未満のものが対策が必要になりま す。

ファイルバージョンはXPFPDF.exe のプロパティ-詳細にて確認できます。

本連絡の時点(H26.9.26)以前に出荷した全てのiAutolayMagic のXPFPDF.exe は、バージョン1.5.0.14 未満のファイルです。 対策後は1.5.0.14 以上の新しいバージョン(1.5.0.14 を含む)となります。

●対策モジュールのインストール方法

Web サーバー上のC:\inetpub\wwwroot\iautsys\libs にあるXPFPDF.exe を新しいバージョンに差し替えます。 対策モジュールおよび資料は、製品サポート／ダウンロードから入手してください。