2022年12月21日 更新

クラウド版につきましても、
2022年12月20日にリリースいたしましたV5.3.1-1にて本脆弱性に対応しました。

アップデートの詳細は、以下をご参照ください。
・Create!Webフロー Cloud（Create!Webフロー V5.3.1-1）

2022年12月16日 更新

パッケージ版につきましては、
2022年12月16日に本脆弱性に対応したCreate!Webフロー利用環境をリリースしました。

アップデートの詳細は、以下をご参照ください。
・Create!Webフロー利用環境(Tomcat8.5.83/AmazonCorretto11)アップデート for V5

クラウド版は、2022年12月20日に行うメンテナンスにて対応予定です。

2022年11月07日 更新

本記事内の「◆影響を受ける環境」に誤りがございました。
正しくは以下となります。

◆影響を受ける環境
　◇Create!Webフロー Cloud
　◇Create!Webフロー V5
　　Tomcat8.5.34（5.1.0以降）、8.5.66（5.2.2以降）を利用しているパッケージ版のユーザー

記載に誤りがあり、大変申し訳ございません。

2022年10月14日 公開

2022年9月28日、Apache Tomcatにおける脆弱性 (CWE-362) - CVE-2021-43980が公表されました。
複数のクライアントから接続された場合、Http11Processorのインスタンスを共有していることに起因して、
レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。

脆弱性の内容は以下をご参照ください。
・JVNVU#98868043:Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

Create!Webフロー Cloud および Create!Webフロー V5では
Tomcatを使用しており、本脆弱性の影響を受けることが分かりました。
これを受け、製品での対応についてお知らせいたします。
なお、本脆弱性の該当箇所は局所的でDoS攻撃のような大量リクエストを要するため、
Create!Webフローの通常のご利用で発生する可能性は低いものとなります。

◆影響を受ける環境
　◇Create!Webフロー Cloud
　◇Create!Webフロー V5
　　Tomcat8.5.34（5.1.0以降5.2.0以降）、8.5.66（5.2.2以降）を利用しているパッケージ版のユーザー

◆製品対応
　2022年12月予定のリリースにて、本脆弱性に対応します。
　◇Create!Webフロー Cloud
　◇Create!Webフロー V5

本件について、ご不明点などございましたら、以下よりお問い合わせください。
---------------------------------------------------------------------------------------------
・Create!Webフロー V5、Create!WebフローCloud　保守契約ユーザー様
　「お問い合わせ」から、弊社サポートまでお問い合わせください。

・Create!WebフローCloud　トライアルユーザー様
　「お問い合わせ」から、弊社営業までお問い合わせください。
---------------------------------------------------------------------------------------------