ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache TomcatにおけるTLSハンドシェイク処理の不備(JVN#72148744)による影響と対策について


概要

JVN#72148744において、次のApache Tomcatの脆弱性が公開されました。

・CVE-2024-38286

HTTPSを利用する設定を行っている環境において、攻撃者によるTLSハンドシェイクプロセスの
乱用によりOutOfMemoryErrorを引き起こされる可能性がある問題

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。


影響のある製品

次の製品が該当し、それらがサポートする全てのOSで影響があります。

  • WebOTX Application Server Express V10.1~V11.2 (※)
  • WebOTX Application Server Standard V10.1~V11.2
  • WebOTX Application Server Standard Extended Option V11.1~V11.2

(※) WebOTX Enterprise Service Bus V10.1/V10.3/V11.1、WebOTX Portal V10.1/V10.4/V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

[脆弱性に該当する条件]
次の全ての条件に合致した場合に発生します。

  • Javaベースの内蔵Webサーバを利用 (※1)
  • HTTPSアクセスポートを開放 (※2)

(※) 外部Webサーバを利用している場合は、本脆弱性の影響を受けません。

(※1)
 【WebOTX Application Server】利用しているWebサーバの確認方法(OTX-FAQ-000832)

https://www.support.nec.co.jp/View.aspx?id=3150111658

(※2)
 ・network-listenersにhttp-listener-2がある事
  server.http-service.virtual-server.server.network-listeners = agent-ajp-listener,tpsystem-ajp-listener,http-listener-2
 ・http-listener-2が有効 (enabled=true) である事
  server.network-config.network-listeners.network-listener.http-listener-2.enabled = true

[脆弱性の影響]
サービス運用妨害(DoS)攻撃を受ける可能性があり
以下の影響がある場合があります。

  • サービスの中断
  • リソース枯渇による応答なし
  • 運用のダウンタイム発生

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

WAF(Web Application Firewall)等で許可していないIPアドレスを遮断することで回避可能です。


関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

  • Japan Vulnerability Notes JVN#72148744/

https://jvn.jp/jp/JVN72148744/

  • CVE-2024-38286

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38286


更新履歴

2024/11/21 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V10.1~V11.2
品名: WebOTX Application Server Standard V10.1~V11.2
品名: WebOTX Application Server Standard Extended Option V11.1~V11.2
  • コンテンツID: 3010104862
  • 公開日: 2024年11月22日
  • 最終更新日:2024年11月22日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。