セキュリティ脆弱性 CVE-2014-0050 が報告されました。Apache Commons FileUploadには、サービス運用妨害(DoS)の脆弱性が存在します。

マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。 リモートの攻撃者によって、細工されたリクエストを送信されることで、サービス運用妨害(DoS)となる可能性があります。

詳細は、以下の URL を参照してください。

• http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000017.html
• https://jvn.jp/jp/JVN14876762/index.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0050

次の製品において、Web版統合運用管理コンソールにて本脆弱性を含むApache Commons FileUploadを利用しています。
Web版統合運用管理コンソールに管理者としてログインした場合にApache Commons FileUploadを含む機能が利用できます。そのため、管理者権限がないユーザに関してWeb版統合運用管理コンソール上で本脆弱性を利用した攻撃を行うことはできません。

• WebOTX Web Edition V6.5
• WebOTX Standard-J Edition V6.5
• WebOTX Standard Edition V6.5
• WebOTX Enterprise Edition V6.5

• WebOTX UDDI Registry V1.1～V7.1
• WebOTX 開発環境 V6.5
• WebOTX Developer V7.1～V8.5

• WebOTX Application Server Web Edition V7.1～V8.1
• WebOTX Application Server Standard-J Edition V7.1～V8.1
• WebOTX Application Server Standard Edition V7.1～V8.1
• WebOTX Application Server Enterprise Edition V7.1～V8.1

• WebOTX Application Server Express V8.2～V8.5
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V8.5
• WebOTX Application Server Enterprise V8.2～V8.5

• WebOTX Enterprise Service Bus V6.4～V8.5
• WebOTX SIP Application Server Standard Edition V7.1～V8.1
• WebOTX Portal V8.2～V8.5

次の製品において、ご利用中のWebアプリケーションが本脆弱性の影響を受けます。

• WebOTX Application Server Express V9.1～V9.2
• WebOTX Application Server Standard V9.2
• WebOTX Application Server Enterprise V9.2
• WebOTX Portal V9.1
• WebOTX Developer V9.1

(※)パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供しております。まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

Web版統合運用管理コンソールの利用時のポート番号（デフォルト5858番）を外部からアクセスできないように制限することで回避してください。

ユーザアプリケーション内に本脆弱性を含むApache Commons FileUploadがある場合、リクエストヘッダの許容サイズを4KB以下としてください。具体的な変更方法については、後述の「リクエストヘッダの許容サイズ変更手順」を参照してください。

リクエストヘッダの許容サイズを4KB以下としてください。具体的な変更方法については、後述の「リクエストヘッダの許容サイズ変更手順」を参照してください。

リクエストヘッダの許容サイズを4KB以下とする具体的な手順を記載します。ご利用いただいているWebサーバの種類により、手順が異なります。

(※)リクエストヘッダの許容サイズを4KBに設定すると、4KBより大きなヘッダサイ ズのリクエストには400エラーを返却するようになります。多数のパラメータなど大きなヘッダサイズを利用する事が想定されるシステムにはこの回避設定を適用しないでください。

HTTP リクエストヘッダで許容されるサイズを指定するのはLimitRequestFieldSize ディレクティブです。 WebOTX Webサーバの設定ファイルである次のファイルに追記します。

<ドメインディレクトリ>/config/WebServer/httpd.conf

LimitRequestFieldSize 4094

【参考URL】

• https://httpd.apache.org/docs/2.2/ja/mod/core.html#limitrequestfieldsize

IIS において、HTTP リクエストヘッダで許容されるサイズを指定する方法は次の通りです。
(※)下記は、IIS7.x での設定方法です。

1. Microsoft Administration Pack for IIS 7.0 をインストールします。
   http://www.iis.net/downloads/microsoft/administration-pack
2. タスク バーで [スタート] ボタンをクリックし、[管理ツール] をポイントして [インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
3. [接続] ウィンドウで、要求のフィルタリング設定を変更する接続、サイト、アプリケーション、またはディレクトリに移動します。
4. [ホーム] ウィンドウで [要求のフィルタリング] をダブルクリックします。
5. [要求のフィルタリング] ウィンドウで、[ヘッダー] タブをクリックし、[操作] ウィンドウで [ヘッダーの追加] をクリックします。
6. [ヘッダーの追加] ダイアログ ボックスで、「ヘッダー」項目に"Content-Type"、「サイズ制限」項目に4096を入力し、[OK] をクリックします。

【参考URL】

• http://support.microsoft.com/kb/260694/ja
• http://technet.microsoft.com/ja-jp/library/ee431598.aspx

【V9をご利用の場合】

運用管理コマンドで設定を変更します。次のコマンドラインを実行し、ドメインを再起動してください。

otxadmin> set server.network-config.protocols.protocol.<プロトコル名>.http.header-buffer-length-bytes=4096

【V8以前のバージョンをご利用の場合】

V8以前のバージョンで、ユーザアプリケーション内に本脆弱性を含むApache Commons FileUploadがある場合、次のコマンドラインを実行してください。コマンド実行後は、ドメインを再起動してください。

• V6
  otxadmin> set server.http-service.http-listener.<リスナ名>.property.max-http-header-size=4
  
  
• V7
  otxadmin> set server.http-service.http-listener.<リスナ名>.property.max-http-header-size=4
  
  
• V8
  ご利用のバージョンにより実行するコマンドが異なります。
  
  
  • V8.22.01.00より前のバージョン
    otxadmin> set server.http-service.http-listener.<リスナ名>.property.max-http-header-size=4
    
    
  • V8.22.01.00以降のバージョン
    
    otxadmin> set server.http-service.http-listener.<リスナ名>.property.maxHttpHeaderSize=4096
    

(※)コマンドは、改行せずに1行で入力してください。