ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache HTTP Web Server 2.4 における複数の脆弱性(CVE-2016-0736, CVE-2016-2161, CVE-2016-5387, CVE-2016-8740,CVE-2016-8743)による影響と対策について

概要

Apache HTTP Server 2.4には、次の脆弱性が存在します。

  • mod_session_cryptoにおけるPadding Oracle攻撃が可能になる脆弱性
    CVE-2016-0736

  • mod_auth_digestにおけるサービス運用妨害(DoS)の脆弱性
    CVE-2016-2161

  • "httpoxy"の脆弱性
    CVE-2016-5387

  • mod_http2におけるサービス運用妨害(DoS)の脆弱性
    CVE-2016-8740

  • HTTPリクエスト解析処理における脆弱性
    CVE-2016-8743

WebOTX AS V9.3~V9.4では、Webサーバとして、Apache HTTP Server 2.4.xを
バンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、
上記脆弱性の影響を受けることが判明しています。


影響のある製品

  • WebOTX Application Server Express V9.3~V9.4
  • WebOTX Application Server Standard V9.3~V9.4
  • WebOTX Application Server Enterprise V9.3~V9.4

詳細

■ CVE-2016-0736
●脆弱性の影響
Padding Oracle攻撃により、情報漏えいが発生する可能性があります。

●脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_session_cryptoモジュールで、セッション
情報を暗号化している場合、本脆弱性の影響を受ける可能性があります。


■ CVE-2016-2161
●脆弱性の影響
不正な入力により、サービス運用妨害(DoS)攻撃を受ける可能性が
あります。

●脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_auth_digestモジュールを利用している
場合、本脆弱性の影響を受ける可能性があります。


■ CVE-2016-5387
●脆弱性の影響
本脆弱性を悪用された場合、中間者攻撃(man-in-the-middle attack)が
行われたり、不正なホストへの接続が発生する可能性があります。

●脆弱性に該当する条件
WebOTX Webサーバ上で動作するCGIアプリケーションにおいて、
Webサーバの環境変数HTTP_PROXYを参照し、後続の処理に利用して
いる場合、本脆弱性の影響を受ける可能性があります。


■ CVE-2016-8740
●脆弱性の影響
細工されたHTTP/2リクエストにより、サーバ上のメモリを消費させる
サービス運用妨害(DoS)攻撃を受ける可能性があります。

●脆弱性に該当する条件
HTTP/2プロトコルを有効にしている場合、本脆弱性の影響を受ける
可能性があります。

HTTP/2プロトコルは、既定では無効となっています。有効かどうかは
次のコマンドでご確認頂けます。

  otxadmin> login --user admin --password **** --port 6212
  otxadmin> get server.WebServer.http2-enabled

上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが
有効になっています。


■ CVE-2016-8743
●脆弱性の影響
本脆弱性を悪用された場合、リクエスト分割やキャッシュ汚染が発生
する可能性があります。

●脆弱性に該当する条件
条件はありません。WebOTX Webサーバを利用している場合に影響を
受けます。


対処方法

本脆弱性を修正した、WebOTX Webサーバ 2.4(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版) 向けのパッチモジュールを、次のページで公開しています。

  • 【WebOTX】Apache HTTP Server 2.4.27:OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

  • (WebOTX V9.3向け)(Windows(x64)版/Linux(x64)版)
      コンテンツID:9010107229

  • 【WebOTX】Apache HTTP Server 2.4.27:OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

  • (WebOTX V9.4、V9.5向け)(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
      コンテンツID:9010107255

    WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、 公開予定です。急ぎでパッチが必要な場合はご連絡ください。

    (注意) パッチモジュールは製品保守契約を結んでいただいたお客様に 限定して提供させていただいています。まだ契約がお済みでない お客様は、保守契約締結の後、ダウンロードをお願いいたします。


    回避方法

    ■ CVE-2016-0736
    mod_session_cryptoでの暗号化は行わず、mod_session_dbd等を
    利用してセッション管理を行ってください。


    ■ CVE-2016-2161
    mod_auth_digest以外のモジュールで認証を行ってください。


    ■ CVE-2016-5387
    次の公開済みページの「回避方法」で、WebOTX Webサーバに関する記述を
    参照してください。

    [WebOTX] CGIウェブサーバがヘッダProxyの値を環境変数HTTP_PROXYに
    設定する脆弱性(CVE-2016-5387,CVE-2016-5388)の影響と対策について
    https://www.support.nec.co.jp/View.aspx?id=3010101876


    ■ CVE-2016-8740
    次の公開済みページの「回避方法」を参照してください。

    [WebOTX] Apache HTTP Web ServerのHTTP/2プロトコルの処理に
    サービス運用妨害(DoS)の脆弱性(CVE-2016-8740)の影響と対策について
    https://www.support.nec.co.jp/View.aspx?id=3010101838


    ■ CVE-2016-8743
    回避方法は、ありません。


    関連情報


    更新履歴

    • 2017/01/10 初版

    本サイトについてのご注意

    1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

    2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

    3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

    セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

    製品名カテゴリ

    WebOTX
    WebOTX Application Server

    • コンテンツID: 3010101842
    • 公開日: 2018年10月09日
    • 最終更新日:2018年10月09日
    ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。