Apache HTTP Web Serverには、次の脆弱性が存在します。

• ap_get_basic_auth_pw() における認証回避の脆弱性
   CVE-2017-3167


• mod_ssl における NULL ポインタ参照の問題
   CVE-2017-3169


• mod_http2 における NULL ポインタ参照の問題
   CVE-2017-7659


• ap_find_token() におけるバッファオーバーリードの脆弱性
   CVE-2017-7668


• mod_mime におけるバッファオーバーリードの脆弱性
   CVE-2017-7679

WebOTX AS V4.1～V9.5では、Webサーバとして、Apache HTTP Serverをバンドルしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性の影響を受けることが判明しています。

• WebOTX Web Edition V4.1～V6.5
• WebOTX Standard-J Edition V4.1～V6.5
• WebOTX Standard Edition V4.1～V6.5
• WebOTX Enterprise Edition V4.1～V6.5
• WebOTX Application Server Web Edition V7.1～V8.1
• WebOTX Application Server Standard-J Edition V7.1～V8.1
• WebOTX Application Server Express V8.2～V9.4 (※)
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V9.4
• WebOTX Application Server Enterprise V8.2～V9.5
• WebOTX Enterprise Service Bus V6.4～V8.5
• WebOTX Portal V8.2～V9.1

(※)WebOTX Enterprise Service Bus V9.2～V9.3、および、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

(※)WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。

■ CVE-2017-3167

• 脆弱性の影響
  認証を回避される可能性があります。
• 脆弱性に該当する条件
  ap_get_basic_auth_pw()を利用したBasic認証を行っている場合、 本脆弱性の影響を受ける可能性があります。

■ CVE-2017-3169

• 脆弱性の影響
  HTTPSポートに対して、HTTPリクエストを送信されることにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
• 脆弱性に該当する条件
  WebOTX AS V6.1 以降にバンドルする、WebOTX Webサーバ 2.x.xで、SSL通信を利用している場合に、本脆弱性の影響を受ける可能性があります。
  SSL通信は、既定では無効となっています。有効かどうかは次のコマンドでご確認頂けます。
  ----------------------------------------
  otxadmin> login --user admin --password **** --port 6212
  otxadmin> get server.WebServer.security-enabled
  ----------------------------------------
  上記getコマンドの実行結果がtrueの場合は、SSL通信が有効になっています。

■ CVE-2017-7659

• 脆弱性の影響
  細工されたHTTP/2リクエストにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
• 脆弱性に該当する条件
  WebOTX Webサーバ 2.4.25で、HTTP/2プロトコルを有効にしている場合に、本脆弱性の影響を受ける可能性があります。
  HTTP/2プロトコルは、WebOTX AS V9.4以降にバンドルするWebOTX Webサーバ2.4でサポートしており、既定では無効となっています。有効かどうかは次のコマンドでご確認頂けます。
  ----------------------------------------
  otxadmin> login --user admin --password **** --port 6212
  otxadmin> get server.WebServer.http2-enabled
  ----------------------------------------
  上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが有効になっています。

■ CVE-2017-7668

• 脆弱性の影響
  細工されたリクエストヘッダにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
• 脆弱性に該当する条件
  WebOTX Webサーバ 2.4.25、または、2.2.32の場合に、本脆弱性の影響を受ける可能性があります。

■ CVE-2017-7679

• 脆弱性の影響
  細工されたContent-Typeレスポンスヘッダにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
• 脆弱性に該当する条件
  条件はありません。WebOTX Webサーバを利用している場合に、本脆弱性の影響を受ける可能性があります。

本脆弱性を修正した、WebOTX Webサーバ 2.2(Windows(x64)版/Linux(x64)版)、 および、WebOTX Webサーバ 2.4(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版) 向けのパッチモジュールを、次のページで公開しています。

• 【WebOTX】Apache HTTP Server 2.2.34：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

　　コンテンツID：　9010107137

• 【WebOTX】Apache HTTP Server 2.4.27：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

　　(WebOTX V9.3向け)(Windows(x64)版/Linux(x64)版)
　　コンテンツID：　9010107229

• 【WebOTX】Apache HTTP Server 2.4.27：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

　　(WebOTX V9.4、V9.5向け)(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
　　コンテンツID：　9010107255

WebOTX Webサーバ 2.2の他のOS、および、Webサーバ 2.4向けのパッチ モジュールは、準備出来次第、公開予定です。急ぎでパッチが必要な 場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に 限定して提供させていただいています。まだ契約がお済みでない お客様は、保守契約締結の後、ダウンロードをお願いいたします。

■ CVE-2017-3167
 Basic認証以外の認証を利用してください。

■ CVE-2017-3169
 SSL通信が不要な場合は、SSL通信を有効にしないでください。
SSL通信を無効にするための設定手順は、次の通りです。
----------------------------------------

1. SSL通信を無効にします。
   　　otxadmin> login --user admin --password **** --port 6212
   　　otxadmin> set server.WebServer.security-enabled=false
2. Webサーバを再起動します。
   　　otxadmin> invoke server.WebServer.stop
   　　otxadmin> invoke server.WebServer.start

----------------------------------------

■ CVE-2017-7659
 HTTP/2プロトコルを無効にすることで、回避してください。
設定手順は次の通りです。
----------------------------------------

1. HTTP/2プロトコルを無効にします。
   　　otxadmin> login --user admin --password **** --port 6212
   　　otxadmin> set server.WebServer.http2-enabled=false
2. Webサーバを再起動します。
   　　otxadmin> invoke server.WebServer.stop
   　　otxadmin> invoke server.WebServer.start

----------------------------------------

■ CVE-2017-7668
 回避方法は、ありません。

■ CVE-2017-7679
 回避方法は、ありません。

本脆弱性問題の詳細は、次のURLを参照してください。

• JVNVU#98416507
  http://jvn.jp/vu/JVNVU98416507/
• CVE-2017-3167
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3167
• CVE-2017-3169
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3169
• CVE-2017-7659
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7659
• CVE-2017-7668
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7668
• CVE-2017-7679
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7679

WebOTX Webサーバのバージョンの確認方法は、次の通りです。

• WebOTX V5以前
   Windows：
  <WebOTXインストールディレクトリ>/WebServer/bin/Apache.exe -v
   UNIX：
  <WebOTXインストールディレクトリ>/WebServer/bin/httpd -v
  
• WebOTX V6以降
  <WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version

2017/07/05 初版

2017/10/05 第2版　「対処方法」を更新

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力して おりますが、 それぞれの情報におきまして内容を予告なく変更する ことがありますので、 あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの 製品の情報につきましては、他社から提供または公開された情報を 基にしております。 最新の情報につきましては製品開発元の情報を 参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につき まして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には 常に最新の情報をご確認いただけますようお願い申し上げます。