概要
Apache Tomcat には、次の複数の脆弱性が存在します。
JVNVU#98104709
- CVE-2019-12418
- CVE-2019-17563
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性のうちCVE-2019-17563の影響があります。
CVE-2019-12418については、WebOTX Application Serverでは脆弱性の影響を受けるコンポーネントを利用していないため影響ありません。
影響のある製品
【CVE-2019-17563】
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Application Server Express V9.1~V9.4 (※)
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Application Server Express V10.1~V10.2 (※)
- WebOTX Application Server Standard V10.1~V10.2
- WebOTX Developer V10.1~V10.2
(※) WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、および
WebOTX Portal V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。
詳細
【CVE-CVE-2019-17563】
[脆弱性の影響]
FORM認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。
そのため、攻撃者によりなりすましが行われることで、FORM認証されたユーザの権限で任意の操作を実行される可能性があります。
[脆弱性に該当する条件]
FORM認証を利用している場合に、本脆弱性の影響を受ける可能性があります。
対処方法
製品に対するパッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
【CVE-2019-17563】
セッション固定攻撃は、FORM認証のログイン後に常にセッションを再作成することで回避可能です。
WebOTXでは、FORM認証でログインが成功した際にセッションを再作成して、ログイン前のセッションを使い続けることを防ぐ機能を提供しています。 全てのWebアプリケーション、もしくはWebアプリケーション毎にFORM認証時のセッション再作成を設定します。
□ 全てのWebアプリケーションを対象として設定する方法
-
運用管理コマンドでログインします
otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <対象ドメインのポート番号>
-
全てのWebアプリケーションを対象としてFORM認証時のセッション再作成を設定します
otxadmin> set server.web-container.property.auth_form_changeSessionIdOnAuthentication=true
-
設定を有効にするため、ドメインを再起動します
□ Webアプリケーション毎に設定する方法
-
Webアプリケーションのnec-web.xml配備記述子にFORM認証時のセッション再作成を設定します
<nec-web-app>要素の子要素<property>のname属性に"auth_form_changeSessionIdOnAuthentication"、value属性に"true"を設定します。
[nec-web.xml配備記述子の設定例]
<?xml version="1.0" encoding="UTF-8"?>
<nec-web-app>
:
<property name="auth_form_changeSessionIdOnAuthentication" value="true"/>
:
</nec-web-app>
-
WARファイルを作成します
-
作成したWARファイルを配備します
関連情報
本脆弱性問題の詳細は、以下のURLを参照してください。
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。