[WebOTX] Apache HTTP Web Serverにおける複数の脆弱性(CVE-2017-9788,CVE-2017-9789)による影響と対策について
概要
Apache HTTP Web Serverには、次の脆弱性が存在します。
- mod_auth_digest におけるメモリが初期化されない問題
CVE-2017-9788
- mod_http2 におけるリードアフターフリーの問題
CVE-2017-9789
WebOTX AS V6.1~V9.5では、Webサーバとして、Apache HTTP Server 2.xをバンドルしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性のうち、CVE-2017-9788の影響を受けることが判明しています。
影響のある製品
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Express V8.2~V9.4 (※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.4
- WebOTX Application Server Enterprise V8.2~V9.5
- WebOTX Enterprise Service Bus V6.4~V8.5
- WebOTX Portal V8.2~V9.1
(※)WebOTX Enterprise Service Bus V9.2~V9.3、および、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
(※)WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。
■ CVE-2017-9788
- 脆弱性の影響
情報漏えいや、サービス運用妨害(DoS)攻撃を受ける可能性があります。
- 脆弱性に該当する条件
mod_auth_digestモジュールによる、ダイジェスト認証を行っている場合に、本脆弱性の影響を受ける可能性があります。
対処方法
本脆弱性を修正した、WebOTX Webサーバ 2.2(Windows(x64)版/Linux(x64)版)、
および、WebOTX Webサーバ 2.4(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
向けのパッチモジュールを、次のページで公開しています。
コンテンツID: 9010107137
(WebOTX V9.3向け)(Windows(x64)版/Linux(x64)版)
コンテンツID: 9010107229
(WebOTX V9.4、V9.5向け)(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
コンテンツID: 9010107255
WebOTX Webサーバ 2.2の他のOS、および、Webサーバ 2.4向けのパッチモジュールは、準備出来次第、公開予定です。急ぎでパッチが必要な場合はご連絡ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
■ CVE-2017-9788
ダイジェスト認証以外の認証を利用してください。
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
その他の情報は、次のURLを参照してください。
備考
WebOTX Webサーバのバージョンの確認方法は、次の通りです。
<WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version
更新履歴
2017/09/04 初版
2017/10/05 第2版 「対処方法」を更新
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力して
おりますが、 それぞれの情報におきまして内容を予告なく変更する
ことがありますので、 あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、 これらの
製品の情報につきましては、他社から提供または公開された情報を
基にしております。 最新の情報につきましては製品開発元の情報を
参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。
掲載情報に従い対応を行った(あるいは行わなかった)結果につき
まして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には
常に最新の情報をご確認いただけますようお願い申し上げます。
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010102222
-
公開日:
2017年12月21日
-
最終更新日:2018年01月11日