ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache Tomcatにおける脆弱性(JVNVU#93620838)による影響と対策について

概要

JVNVU#93620838において、次のApache Tomcatの脆弱性が公開されました。

・CVE-2023-45648
・CVE-2023-44487
・CVE-2023-42795
・CVE-2023-42794

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。

CVE-2023-42794については、Webコンテナでは影響のあるバージョンのTomcatコードを利用していないため影響ありません。

影響のある製品

【CVE-2023-45648】
【CVE-2023-44487】
【CVE-2023-42795】

次の製品が該当し、それらがサポートする全てのOSで影響があります。

・WebOTX Application Server Express V10.1~V11.1 (※)
・WebOTX Application Server Standard V10.1~V11.1
・WebOTX Application Server Standard Extended Option V11.1

(※) WebOTX Enterprise Service Bus V10.1/V10.3、WebOTX Portal V10.1/V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

詳細

【CVE-2023-45648】

[脆弱性に該当する条件]
クライアントとWebOTXの間に、HTTPを解釈するプロキシや、LoadBalancerなどの機器が存在しそれらの機器がRFCに準拠した実装になっていない場合

[脆弱性の影響]
WebOTXをリバースプロキシの背後に配備している構成で、Trailerヘッダーを含む特別に細工されたリクエストを受け付けた場合、WebOTXがHTTP Trailerヘッダーを適切に処理しないためシングルリクエストを複数のリクエストのように扱ってしまいこれによりリクエストスマグリング攻撃が発生する可能性があります。


【CVE-2023-44487】

[脆弱性に該当する条件]
HTTP/2が有効の場合

[脆弱性の影響]
HTTP/2プロトコルの根本的な脆弱性を悪用してストリームの接続とキャンセルを繰り返して(Rapid Reset攻撃)DoS攻撃を発生させ、結果OutOfMemoryErrorとなる可能性があります。


【CVE-2023-42795】

[脆弱性に該当する条件]
リクエストおよびレスポンスが完了したオブジェクトをリサイクルする際にエラーが発生した場合

[脆弱性の影響]
WebOTXのリクエスト・レスポンスのオブジェクトリサイクル処理に問題があり処理中にエラーが発生すると別のリクエストからオブジェクトの情報が参照可能となり情報漏洩が発生する可能性があります。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

回避方法

【CVE-2023-45648】
WAF(Web Application Firewall)等で許可していないIPアドレスを遮断することで回避可能です。

【CVE-2023-44487】
WAF(Web Application Firewall)等で許可していないIPアドレスを遮断することで回避可能です。

【CVE-2023-42795】
WAF(Web Application Firewall)等で許可していないIPアドレスを遮断することで情報漏洩は回避可能です。

関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

  • JPCERT/CC

Japan Vulnerability Notes JVNVU#93620838/

https://jvn.jp/vu/93620838/

  • CVE-2023-45648

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45648

  • CVE-2023-44487

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-44487

  • CVE-2023-42795

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42795

更新履歴

2023/11/9 初版

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V10.1~V11.1
品名: WebOTX Application Server Standard V10.1~V11.1
品名: WebOTX Application Server Standard Extended Option V11.1
  • コンテンツID: 3010104483
  • 公開日: 2023年11月09日
  • 最終更新日:2023年11月09日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。