ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache HTTP Web Serverにおける複数の脆弱性(CVE-2017-15710, CVE-2017-15715, CVE-2018-1283, CVE-2018-1301, CVE-2018-1302, CVE-2018-1303, CVE-2018-1312)による影響と対策について

概要

Apache HTTP Web Serverには、次の脆弱性が存在します。

  • mod_authnz_ldap におけるサービス運用妨害 (DoS) の脆弱性
    CVE-2017-15710
  • <FilesMatch> において認証を回避される脆弱性
    CVE-2017-15715
  • mod_session においてセッション情報が改ざんされる脆弱性
    CVE-2018-1283
  • HTTP リクエスト処理におけるサービス運用妨害 (DoS) の脆弱性
    CVE-2018-1301
  • HTTP/2 通信処理における解放済みメモリ使用の脆弱性
    CVE-2018-1302
  • HTTP リクエスト処理におけるサービス運用妨害 (DoS) の脆弱性
    CVE-2018-1303
  • mod_auth_digest におけるリプレイ攻撃が可能になる脆弱性
    CVE-2018-1312

WebOTX AS V6.1~V10.1では、Webサーバとして、Apache HTTP Server 2.xをバンドルしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性の影響を受けることが判明しています。

影響のある製品

WebOTX Webサーバ 2.xの場合に、本脆弱性の影響を受ける可能性があります。

  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Standard-J Edition V6.1~V6.5
  • WebOTX Standard Edition V6.2~V6.5
  • WebOTX Enterprise Edition V6.2~V6.5
  • WebOTX Application Server Web Edition V7.1~V8.1
  • WebOTX Application Server Standard-J Edition V7.1~V8.1
  • WebOTX Application Server Express V8.2~V10.1 (※)
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V10.1
  • WebOTX Application Server Enterprise V8.2~V9.5
  • WebOTX Enterprise Service Bus V6.4~V8.5
  • WebOTX Portal V8.2~V9.1

(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、WebOTX Portal V9.2~V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

詳細

WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。

  • CVE-2017-15710
    • 脆弱性の影響
      サービス運用妨害(DoS)攻撃を受ける可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.0.x/2.2.x/2.4.xのmod_authnz_ldapモジュールを利用し、AuthLDAPCharsetConfigディレクティブを定義している場合に本脆弱性の影響を受ける可能性があります。

      WebOTX Webサーバの既定の設定ファイルでは、mod_authnz_ldapモジュールを無効化しており、利用しません。
  • CVE-2017-15715
    • 脆弱性の影響
      認証を回避される可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.4.xで、ユーザのファイルアップロードのアクセス制御のために、<FilesMatch>ディレクティブを利用し、そのファイル名の正規表現として'$'を含めていた場合、本脆弱性の影響を受ける可能性があります。
  • CVE-2018-1283
    • 脆弱性の影響
      セッション情報が改ざんされる可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.4.xのmod_sessionモジュールを利用し、SessionEnvディレクティブをOnにしている場合に、本脆弱性の影響を受ける可能性があります。

      WebOTX Webサーバの既定の設定ファイルでは、mod_sessionモジュールを無効化しており、利用しません。
  • CVE-2018-1301
    • 脆弱性の影響
      細工されたHTTPリクエストにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.0.x/2.2.x/2.4.xを利用している場合に影響を受ける可能性があります。
  • CVE-2018-1302
    • 脆弱性の影響
      サービス運用妨害(DoS)攻撃を受ける可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.4.xで、HTTP/2プロトコルを有効にしている場合に、本脆弱性の影響を受ける可能性があります。

      HTTP/2プロトコルは、WebOTX AS V9.4以降にバンドルするWebOTX Webサーバ2.4でサポートしており、既定では無効となっています。有効かどうかは次のコマンドでご確認頂けます。

      otxadmin> login --user admin --password **** --port 6212
      otxadmin> get server.WebServer.http2-enabled

      上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが有効になっています。
  • CVE-2018-1303
    • 脆弱性の影響
      細工されたHTTPリクエストヘッダにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.4.xのmod_cache_socacheモジュールを利用してコンテンツをキャッシュしている場合に、本脆弱性の影響を受ける可能性があります。

      WebOTX Webサーバの既定の設定ファイルでは、mod_cache_socacheモジュールを無効化しており、利用しません。
  • CVE-2018-1312
    • 脆弱性の影響
      認証を回避される可能性があります。
    • 脆弱性に該当する条件
      WebOTX Webサーバ 2.0.x/2.2.x/2.4.xのmod_auth_digestモジュールを利用して、ダイジェスト認証を行っている場合に、本脆弱性の影響を受ける可能性があります。

      WebOTX Webサーバの既定の設定ファイルでは、mod_auth_digestモジュールを無効化しており、利用しません。

対処方法

本脆弱性を修正した、WebOTX Webサーバ 2.4(Windows(x64)版/Linux(x64)版/HP-UX(IPF)版)向けの パッチモジュールを、次のページで公開しています。

【WebOTX】Apache HTTP Server 2.4.39:OpenSSL 1.0.2r のダウンロード(WebOTX V9.4~10.12向け)(Windows(x64)版/Linux(x64)版)

【WebOTX】Apache HTTP Server 2.4.41:OpenSSL 1.0.2s のダウンロード(WebOTX V10.1~10.1x向け)(HP-UX(IPF)版)

【WebOTX】Apache HTTP Server 2.4.41:OpenSSL 1.0.2t のダウンロード(WebOTX V9.3~V9.4向け)(Linux(x64)版)

WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、 公開予定です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

回避方法

  • CVE-2017-15710
    • 回避方法はありません。
  • CVE-2017-15715
    • <FilesMatch>ディレクティブのファイル名の正規表現として、'$'を使用しない方法で定義してください。
  • CVE-2018-1283
    • 回避方法はありません。
  • CVE-2018-1301
    • 回避方法はありません。
  • CVE-2018-1302
    • HTTP/2プロトコルを無効にすることで、回避してください。

      設定手順は次の通りです。
      1. HTTP/2プロトコルを無効にします。

        otxadmin> login --user admin --password **** --port 6212
        otxadmin> set server.WebServer.http2-enabled=false

      2. Webサーバを再起動します。

        otxadmin> invoke server.WebServer.stop
        otxadmin> invoke server.WebServer.start

  • CVE-2018-1303
    • mod_cache_socacheモジュールのかわりに、mod_cache_diskモジュール等を利用してコンテンツのキャッシュを行ってください。
  • CVE-2018-1312
    • ダイジェスト認証以外の認証を利用してください。

備考

WebOTX Webサーバのバージョンの確認方法は、次の通りです。

<WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version

更新履歴

2018/4/4 初版

2019/10/23 「対処方法」にリンク「【WebOTX】Apache HTTP Server 2.4.41:OpenSSL 1.0.2t のダウンロード(WebOTX V9.4向け)(Linux(x64)版)」を追加。

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

関連情報

  • コンテンツID: 3010102384
  • 公開日: 2018年10月15日
  • 最終更新日:2019年12月27日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。