概要
Apache HTTP Server 2.4には、次の脆弱性が存在します。
- Cache-Digest の値を細工された HTTP/2 リクエストを処理することで Push Diary がクラッシュする脆弱性
CVE-2020-9490
- mod_proxy_uwsgiにおけるバッファオーバーフローの脆弱性
CVE-2020-11984
- mod_remoteip および、mod_rewrite を用いる特定の設定を行って動作させている場合に、ログやPHPスクリプトで参照されるIPアドレスが偽装可能な脆弱性
CVE-2020-11985
- HTTP/2 モジュールで trace/debug が有効な場合、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性
CVE-2020-11993
WebOTX AS V9.3~V10.3では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性の影響を受けることが判明しています。
影響のある製品
■CVE-2020-9490
■CVE-2020-11993
- WebOTX Application Server Express V9.4~V10.3
- WebOTX Application Server Standard V9.4~V10.3
- WebOTX Application Server Enterprise V9.4~V9.6
(※)WebOTX Enterprise Service Bus V10.1、V10.3、WebOTX Portal V10.1
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V9.4はApache HTTP Server 2.4.20以降2.4.43までのいずれかの
パッチモジュールを適用している場合に該当します。
■CVE-2020-11984
- WebOTX Application Server Express V9.3~V10.3
- WebOTX Application Server Standard V9.3~V10.3
- WebOTX Application Server Enterprise V9.3~V9.6
(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V9.3~V9.5および、V10.1、V10.2はApache HTTP Server 2.4.32以降2.4.43までのいずれかの
パッチモジュールを適用している場合に該当します。
■CVE-2020-11985
- WebOTX Application Server Express V9.3、V9.4
- WebOTX Application Server Standard V9.3、V9.4
- WebOTX Application Server Enterprise V9.3、V9.4
(※)WebOTX Enterprise Service Bus V9.3、WebOTX Portal V9.3
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
■CVE-2020-9490
● 脆弱性の影響
クラッシュによる、サービス運用妨害(DoS)攻撃を受ける可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_http2モジュールを有効としている場合に、
本脆弱性の影響を受ける可能性があります。
■CVE-2020-11984
● 脆弱性の影響
バッファオーバーフローにより、情報の漏洩および、リモートコード実行の可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxy_uwsgiモジュールを有効とし、WSGIプロトコルを
使用している場合に、本脆弱性の影響を受ける可能性があります。
■CVE-2020-11985
● 脆弱性の影響
IPアドレス偽装により、アクセス制限が迂回される可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_remoteipおよび、mod_rewriteモジュールを有効とし、
特定の方法でプロキシを使用している場合に、本脆弱性の影響を受ける可能性があります。
■CVE-2020-11993
● 脆弱性の影響
メモリプールに競合が生じることにより、サービス運用妨害(DoS)攻撃を受ける可能性が
あります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_http2モジュールを有効とし、ログレベルをtraceまたは
debugに設定している場合に、本脆弱性の影響を受ける可能性があります。
対処方法
パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
回避方法
■CVE-2020-9490
mod_http2のH2Push(サーバプッシュプロトコル機能)ディレクティブをoff(無効)にしてください。
設定手順は次の通りです。
----------------------------------------
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/httpd.conf
をテキストエディタで開きます。
- <IfDefine HTTP2>ディレクティブ内にH2Pushディレクティブを追加し、値に"off"を設定してください。
既に定義が存在する場合、本手順は不要です。
設定例)
<IfDefine HTTP2>
H2Push off
</IfDefine>
- Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
----------------------------------------
■CVE-2020-11984
回避方法は、ありません。
■CVE-2020-11985
回避方法は、ありません。
■CVE-2020-11993
mod_http2のログレベルを「info」に設定してください。
設定手順は次の通りです。
----------------------------------------
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/httpd.confを
テキストエディタで開きます。
- <IfDefine HTTP2>ディレクティブ内にLogLevelディレクティブを追加し、http2のログレベルを
"info"に設定してください。なお、モジュール情報が付与されていないLogLevelの定義
(LogLevel warn など)よりも、後に追加してください。
既に定義が存在する場合、本手順は不要です。
設定例)
<IfDefine HTTP2>
LogLevel http2:info
</IfDefine>
- Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
----------------------------------------
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
- JVNVU#92184689
https://jvn.jp/vu/JVNVU92184689/
- CVE-2020-9490
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9490
- CVE-2020-11984
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
- CVE-2020-11985
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11985
- CVE-2020-11993
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11993
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、
あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。
最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、
弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。