ページの先頭です。
ここから本文です。

技術情報

【GUARDIAN】 GUARDIANWALL、WEBGUARDIAN における Apache にて Cookie 情報が不正に取得される可能性のある脆弱性について

Apache HTTP Server 2.2.21 以前のバージョンでは、 不正なヘッダ情報を受け取った場合などに表示される Bad Request (400) エラー画面に、 HttpOnly 属性を持つ Cookie が記載されるという脆弱性がございます。 これにより、リモートの第三者が Cookie 中に含まれるセッションIDなどの重要情報を不正に入手してしまう可能性がございます。

下記対象バージョンに記載の GUARDIANWALL、WEBGUARDIAN につきましても、 Apache HTTP Server 2.2.21 以前のバージョンを利用しているため、本脆弱性の影響を受けます。 本脆弱性につきまして、GUARDIANWALL、WEBGUARDIAN における回避策をご案内いたします。

詳細につきましては、以下をご参照いただけますようお願いいたします。

1  対象バージョン

本案内事項は、以下の製品・バージョンを対象としております。

製品名 バージョン
GUARDIANWALL 5.0.00 ~ 7.4.00 (Linux版)
WEBGUARDIAN 3.0.00 ~ 3.6.00 (Linux版)


2  回避策

Bad Request (400) エラーに対する Apache HTTP Server のエラー画面をデフォルトから変更することで、 本脆弱性を回避することが可能です。 本設定変更により、エラー画面の表示が「400 Bad Request」のみとなり、Cookie 情報の漏えいを防ぐことができますので、 お手数ですができるだけ速やかに回避策を適用いただくようお願いいたします。

なお、WEBGUARDIAN V3.6 検査サーバにつきましては、 本脆弱性が修正された Apache に差し替えるパッチを作成し、再度ご案内する予定でございます。 その他の製品・バージョンにつきましては、下記に記載している設定変更が恒久対策となります。

以下に、製品・バージョンごとの回避策を記載いたします。
(追加) と記載されている行を追加してください。

本回避策を適用後、アップグレードや設定のバックアップ・リストアを行った際に、回避策の再設定が必要になる場合がございます。 製品・バージョンごとの再設定の要否については、下記からご確認ください。


WEBGUARDIAN V3.0.00 ~ 3.6.00

WEBGUARDIAN 検査サーバ

(1) 管理サーバの /opt/Guardian/Admin/etc/wg/httpd.conf.tpl に以下の 1 行を追記します。 
・・・略・・・
ServerSignature Off                     (※V3.0.07 以前では On となっています)
ErrorDocument 400 "400 Bad Request"     (追加)
AddDefaultCharset Off
・・・略・・・
  ※追加行の末尾にダブルクオーテーション(")が必要です。

(2) 上記の設定完了後、管理サーバで以下のコマンドを実行します。
これにより、検査サーバへの設定反映と検査サーバの Apache サービスの再起動が行われます。 
# /opt/Guardian/Admin/support/pushWebWG -r httpd

GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)

(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 1 行を追記します。
・・・略・・・
ServerSignature Off                   (※V3.0~3.1 では On となっています)
ErrorDocument 400 "400 Bad Request    (追加)
・・・略・・・
  ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。
# /etc/init.d/Guardian.admin restart

(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。


WEBGUARDIAN 独自認証用パスワード変更画面 (WEBGUARDIAN V3.4 以降)

(1) 管理サーバの /opt/Guardian/Admin/public/conf/httpd.conf に以下の 1 行を追記します。
・・・略・・・
ServerSignature Off
ErrorDocument 400 "400 Bad Request    (追加)
・・・略・・・
   ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、独自認証用パスワード変更画面の Apache サービスを再起動します。
# /etc/init.d/Guardian.pub restart

注意事項

回避策適用後のアップグレード時の注意事項

httpd.conf.tpl に設定した値は、アップグレード時に継承されずに新たに上書きされます (検査サーバ側の設定も同様に上書きされます)。
また、管理サーバ (検査サーバマシン上の管理サーバパッケージも含む) および独自認証用パスワード変更画面の httpd.conf については、 アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策を再設定していただく必要があります。

回避策適用後の設定バックアップ・リストア時の注意事項
  • 管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
    本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。 「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、 その他の設定は継承されます。従って回避策の再設定は必要ありません。
    管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。

  • 検査サーバ:/opt/Guardian/Admin/etc/wg/httpd.conf.tpl
    本ファイルはサポートツール「rescue.pl」のバックアップ対象となりませんので、 本回避策を設定していない環境に設定リストアした場合には再設定が必要となります。

  • 検査サーバマシン上の管理サーバパッケージ:
       /opt/Guardian/Admin/httpd/conf/httpd.conf
    本ファイルはサポートツール「rescue.pl」のバックアップ対象です。 設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。

  • 独自認証用パスワード変更画面:/opt/Guardian/Admin/public/conf/httpd.conf
    本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。 設定リストア時にはバージョン間の設定変更により一部書き換えがされることがありますが、 その他の設定は継承されることになります。従って回避策の再設定は必要ありません。

WEBGUARDIAN V3.6 のアップグレードモジュールについて

WEBGUARDIAN V3.6 の アップデートモジュール 20110624 にて、 Apacheユーザ名列挙脆弱性の対応のため httpd.conf の変更がございますが、 本回避策はこのパッチの適用前後のどちらで実施いただいても問題ありません。



GUARDIANWALL V7.0.00~7.4.00

GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)

(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 1 行を追記します。 
・・・略・・・
ServerSignature Off                      (※V7.0 では On となっています)
ErrorDocument 400 "400 Bad Request       (追加)
・・・略・・・
   ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。
# /etc/init.d/Guardian.admin restart

(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。


一時保留メール管理画面(GUARDIANWALL V7.4)

(1) 管理サーバの /opt/Guardian/Admin/public/conf/httpd.conf に以下の 1 行を追記します。 
・・・略・・・
ServerSignature Off
ErrorDocument 400 "400 Bad Request    (追加)
・・・略・・・
   ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、一時保留メール管理画面用の Apache サービスを再起動します。 
# /etc/init.d/Guardian.pub restart

注意事項

回避策適用後のアップグレード時の注意事項

管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)、および一時保留メール管理画面の httpd.conf については、 アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。

回避策適用後の設定バックアップ・リストア時の注意事項
  • 管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
    本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。 「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、 その他の設定は継承されます。従って回避策の再設定は必要ありません。
    管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。
    なお、GUARDIANWALL V5.0~5.3 でバックアップした設定を、サポートツール「resconf_mgwall.pl」を使用してリストアした場合、 回避策の再設定が必要となります。

  • 検査サーバマシン上の管理サーバパッケージ:
       /opt/Guardian/Admin/httpd/conf/httpd.conf
    本ファイルはサポートツール「rescue.pl」のバックアップ対象です。 設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。 ただし、GUARDIANWALL V5.0~5.3 でバックアップした設定をリストアした場合、回避策の再設定が必要となります。

  • 一時保留メール管理画面:/opt/Guardian/Admin/public/conf/httpd.conf
    本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。 設定リストア時にはバージョン間の設定変更により一部書き換えがされることがありますが、 その他の設定は継承されることになります。従って回避策の再設定は必要ありません。

GUARDIANWALL V7.4 のアップグレードモジュールについて

GUARDIANWALL V7.4 の アップデートモジュール 20110624 にて、 Apacheユーザ名列挙脆弱性の対応のため httpd.conf の変更がございますが、 本回避策はこのパッチの適用前後のどちらで実施いただいても問題ありません。



GUARDIANWALL 6.0.00~6.0.11

GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)

(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 1 行を追記します。 
・・・略・・・
ServerSignature On
ErrorDocument 400 "400 Bad Request    (追加)
・・・略・・・
   ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。 
# /etc/init.d/Guardian.admin restart

(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。


注意事項

回避策適用後のアップグレード時の注意事項

管理サーバ (検査サーバマシン上の管理サーバパッケージも含む) の httpd.conf については、 アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。

回避策適用後の設定バックアップ・リストア時の注意事項
  • 管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
    本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。 「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、 その他の設定は継承されます。従って回避策の再設定は必要ありません。
    管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。
    なお、GUARDIANWALL V5.0~5.3 でバックアップした設定を、サポートツール「resconf_mgwall.pl」を使用してリストアした場合、 回避策の再設定が必要となります。

  • 検査サーバマシン上の管理サーバパッケージ:
       /opt/Guardian/Admin/httpd/conf/httpd.conf
    本ファイルはサポートツール「rescue.pl」のバックアップ対象です。 設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。 ただし、GUARDIANWALL V5.0~5.3 でバックアップした設定をリストアした場合、回避策の再設定が必要となります。



GUARDIANWALL 5.1.00~5.3.18

GUARDIANWALL サーバ (管理サーバパッケージ)

(1) GUARDIANWALL サーバの /opt/Guardian/httpd/conf/httpd.conf に以下の 1 行を追記します。
・・・略・・・
ServerSignature Off
ErrorDocument 400 "400 Bad Request    (追加)
・・・略・・・
   ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、以下のコマンドを実行して GUARDIANWALL サービスを再起動します。
# /etc/init.d/MailWall restart

注意事項

回避策適用後のアップグレード時の注意事項

GUARDIANWALL サーバの httpd.conf については、アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。

回避策適用後の設定バックアップ・リストア時の注意事項

GUARDIANWALL サーバの httpd.conf ファイルは、サポートツール「rescue.pl」のバックアップ対象です。 設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
ただし、GUARDIANWALL V5.0 でバックアップした設定をリストアした場合、再設定が必要となります。



GUARDIANWALL 5.0.00~5.0.24

GUARDIANWALL サーバ (管理サーバパッケージ)

(1) GUARDIANWALLサーバの /opt/MailGuardian/Wall/httpd/conf/httpd.conf に以下の 1 行を追記します。
・・・略・・・
ServerSignature On                    (※5.0.24 では Off となっています)
ErrorDocument 400 "400 Bad Request    (追加)
・・・略・・・
   ※追加行の末尾にダブルクオーテーション(")は不要です。

(2) 上記設定完了後、以下のコマンドを実行して GUARDIANWALL サービスを再起動します。
# /etc/init.d/MailWall restart

注意事項

回避策適用後のアップグレード時の注意事項

GUARDIANWALL サーバの httpd.conf については、アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。

回避策適用後の設定バックアップ・リストア時の注意事項

GUARDIANWALL サーバの httpd.conf ファイルは、サポートツール「rescue.pl」のバックアップ対象です。 設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。



回避策の再設定要否一覧表

本回避策を実施した後にアップグレード/設定バックアップ・リストアを行った場合に回避策の再設定が必要となるかどうかについて、 製品・バージョンごとの一覧表を記載いたします。 詳細は、各製品の回避策にて記載しております「注意事項」をご確認ください。

なお、表中の ”-” は、そのサーバ、機能/パッケージが当該リストア機能のリストア対象外であることを表しています。

対象 再設定の要否
製品・バージョン マシン種別 機能/パッケージ種別 アップグレード時 ※1 設定リストア時
管理画面 rescue.php resconf_
mgwall.pl 		rescue.pl
GUARDIANWALL
V7.0.00~7.4.00 		管理サーバ 管理 必要 必要 不要 必要 -
一時保留 必要 不要 不要 - -
検査サーバ 管理 必要 - - - ※2
GUARDIANWALL
V6.0.00~6.0.11 		管理サーバ 管理 必要 必要 不要 必要 -
検査サーバ 管理 必要 - - - ※2
GUARDIANWALL
V5.1.00~5.3.18 		種別なし 管理 必要 - - - ※3
GUARDIANWALL
V5.0.00~5.0.24 		種別なし 管理 必要 - - - 不要
WEBGUARDIAN
V3.0.00~3.6.00 		管理サーバ 管理 必要 必要 不要 - -
独自認証 必要 不要 不要 - -
検査サーバ 管理 必要 - - - 不要
検査 必要 - - - 必要

※1 アップグレード時の再設定要否は、下位バージョンから該当バージョンへアップグレードした場合の記載です。

※2 GUARDIANWALL V5.0.00~5.3.18 で取得したバックアップデータである場合のみ、本回避策の再設定が必要です。

※3 GUARDIANWALL V5.0.00~5.0.24 で取得したバックアップデータである場合のみ、本回避策の再設定が必要です。

製品名カテゴリ

GUARDIANWALL

対象製品

品名: GUARDIANWALL
リビジョン: V5.0, V5.1, V5.3, V6.0, V7.0, V7.1, V7.2, V7.3, V7.4
対象OS: Linux
品名: WEBGUARDIAN
リビジョン: V3.0, V3.1, V3.2, V3.3, V3.4, V3.5, V3.6
対象OS: Linux
  • コンテンツID: 3140101430
  • 公開日: 2013年04月02日
  • 最終更新日:2018年10月12日

アンケート

サポート情報充実のためアンケートにご協力をお願いいたします。

コメント欄:
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。
ページ共通メニューここまで。