ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache HTTP Web Server 2.4 における複数の脆弱性(JVNVU#99602154)への影響と対策について


概要

Apache HTTP Server 2.4には、次の脆弱性が存在します。

  • mod_luaのr:parsebodyにおける、不適切な初期化の脆弱性
    CVE-2022-22719
  • HTTP Request Smuggling攻撃が可能になる脆弱性
    CVE-2022-22720
  • LimitXMLRequestBodyにて32ビットシステム上で350MBを超えるリクエストボディを受け付けるように設定されている場合(デフォルトは1MB)の整数オーバーフローまたはラップアラウンドの脆弱性
    CVE-2022-22721
  • mod_sedにおける、整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性
    CVE-2022-23943

WebOTX AS V9.3~V10.4では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性の影響を受けることが判明しています。


影響のある製品

●CVE-2022-22719
●CVE-2022-22720
●CVE-2022-23943
  • WebOTX Application Server Express V9.3~V10.4
  • WebOTX Application Server Standard V9.3~V10.4
  • WebOTX Application Server Enterprise V9.3~V9.6
  • (※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


    ●CVE-2022-22721
  • WebOTX Application Server Express V9.3、V9.4
  • WebOTX Application Server Standard V9.3、V9.4
  • WebOTX Application Server Enterprise V9.3、V9.4

(※)WebOTX Enterprise Service Bus V9.3、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

■CVE-2022-22719
● 脆弱性の影響
プロセスがクラッシュすることにより、サービスが継続できなくなる可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_luaモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_luaモジュールを無効化しており、利用しません。

■CVE-2022-22720
● 脆弱性の影響
HTTPリクエストスマグリングの脆弱性が誘発されることにより、機密情報へのアクセスが可能となり、様々な攻撃を受ける可能性があります。

● 脆弱性に該当する条件
HTTP通信時にエラーが発生した場合は、本脆弱性の影響を受ける可能性があります。

■CVE-2022-22721
● 脆弱性の影響
バッファオーバーフローにより、情報の漏洩および、リモートコード実行の可能性があります。

● 脆弱性に該当する条件
32ビットシステム環境で、LimitXMLRequestBodyディレクティブに350MByteを超える設定を行っていた場合に本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルではLimitXMLRequestBodyディレクティブは設定していません(未設定時は1MByte)。

■CVE-2022-23943
● 脆弱性の影響
ヒープメモリが上書きされることで、著しく性能が劣化する可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_sedモジュールを有効とし、この機能を利用している場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_sedモジュールを無効化しており、利用しません。


対処方法

下記のパッチを提供しております。

その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。


回避方法

■CVE-2022-22719
回避方法はありません。

■CVE-2022-22720
回避方法はありません。

■CVE-2022-22721
XML形式のリクエストボディサイズを制限するディレクティブ(LimitXMLRequestBody)の値を350Mバイト以下に設定してください。
※LimitXMLRequestBodyを設定していない場合は、対応は不要です。
設定手順は次の通りです。
----------------------------------------
1. <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/httpd.confをテキストエディタで開きます。
2. LimitXMLRequestBodyディレクティブ値を変更します。
設定例では、500Mバイトから350Mバイトへ変更しています。

設定例)
LimitXMLRequestBody 500000000

LimitXMLRequestBody 350000000

3. WebOTX Webサーバを再起動します。
otxadmin> login --user admin --password **** --port 6212
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
----------------------------------------

■CVE-2022-23943
回避方法はありません。


関連情報


更新履歴

2022/04/08 初版
2022/04/20 更新


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.3~V10.4
品名: WebOTX Application Server Standard V9.3~V10.4
品名: WebOTX Application Server Enterprise V9.3~V9.6
  • コンテンツID: 3010103850
  • 公開日: 2022年04月13日
  • 最終更新日:2022年05月31日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。