Apache HTTP Web Serverには、次の脆弱性が存在します。

• mod_auth_digest におけるメモリが初期化されない問題
   CVE-2017-9788


• mod_http2 におけるリードアフターフリーの問題
   CVE-2017-9789

WebOTX AS V6.1～V9.5では、Webサーバとして、Apache HTTP Server 2.xをバンドルしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性のうち、CVE-2017-9788の影響を受けることが判明しています。

• WebOTX Web Edition V6.1～V6.5
• WebOTX Standard-J Edition V6.1～V6.5
• WebOTX Standard Edition V6.2～V6.5
• WebOTX Enterprise Edition V6.2～V6.5
• WebOTX Application Server Web Edition V7.1～V8.1
• WebOTX Application Server Standard-J Edition V7.1～V8.1
• WebOTX Application Server Express V8.2～V9.4 (※)
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V9.4
• WebOTX Application Server Enterprise V8.2～V9.5
• WebOTX Enterprise Service Bus V6.4～V8.5
• WebOTX Portal V8.2～V9.1

(※)WebOTX Enterprise Service Bus V9.2～V9.3、および、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

(※)WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。

■ CVE-2017-9788

• 脆弱性の影響
  情報漏えいや、サービス運用妨害(DoS)攻撃を受ける可能性があります。
• 脆弱性に該当する条件
  mod_auth_digestモジュールによる、ダイジェスト認証を行っている場合に、本脆弱性の影響を受ける可能性があります。

本脆弱性を修正した、WebOTX Webサーバ 2.2(Windows(x64)版/Linux(x64)版)、 および、WebOTX Webサーバ 2.4(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版) 向けのパッチモジュールを、次のページで公開しています。

• 【WebOTX】Apache HTTP Server 2.2.34：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

　　コンテンツID：　9010107137

• 【WebOTX】Apache HTTP Server 2.4.27：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

　　(WebOTX V9.3向け)(Windows(x64)版/Linux(x64)版)
　　コンテンツID：　9010107229

• 【WebOTX】Apache HTTP Server 2.4.27：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

　　(WebOTX V9.4、V9.5向け)(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
　　コンテンツID：　9010107255

WebOTX Webサーバ 2.2の他のOS、および、Webサーバ 2.4向けのパッチモジュールは、準備出来次第、公開予定です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

■ CVE-2017-9788
 ダイジェスト認証以外の認証を利用してください。

本脆弱性問題の詳細は、次のURLを参照してください。

• JVNVU#92256772
  http://jvn.jp/vu/JVNVU92256772/
• CVE-2017-9788
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9788

その他の情報は、次のURLを参照してください。

• CVE-2017-9789
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9789

WebOTX Webサーバのバージョンの確認方法は、次の通りです。

 <WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version

2017/09/04 初版

2017/10/05 第2版　「対処方法」を更新

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力して おりますが、 それぞれの情報におきまして内容を予告なく変更する ことがありますので、 あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの 製品の情報につきましては、他社から提供または公開された情報を 基にしております。 最新の情報につきましては製品開発元の情報を 参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につき まして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には 常に最新の情報をご確認いただけますようお願い申し上げます。