概要
Apache Tomcat には、次の複数の脆弱性が存在します。
JVNVU#92250735
- CVE-2016-6816
- CVE-2016-6817
- CVE-2016-8735
WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX AS は、上記Apache Tomcatの一部脆弱性の影響があります。
影響あり
影響なし
- CVE-2016-6817
- CVE-2016-8735
影響のある製品
- WebOTX Web Edition V6.1~V6.5
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX 開発環境 V6.1~V6.5
- WebOTX UDDI Registry V3.1~V3.5
- WebOTX Enterprise Service Bus V6.4~V6.5
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Developer V7.1
- WebOTX UDDI Registry V7.1
- WebOTX Enterprise Service Bus V7.1
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX Developer V8.1~V8.5
- WebOTX Portal V8.2~V8.4
- WebOTX Enterprise Service Bus V8.1~V8.5
- WebOTX Application Server Express V9.1~V9.4
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
(※) |
WebOTX Enterprise Service Bus V9.2~V9.3、および、
WebOTX Portal V9.3にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。
|
詳細
【CVE-2016-6816】
[脆弱性の影響]
攻撃者によりHTTPリクエスト行に不正なキャラクタを埋め込まれた場合に、HTTPレスポンスを操作されクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、リクエストから情報を取得されたり、キャッシュポイズニング攻撃を仕掛けられる可能性があります。
[脆弱性に該当する条件]
HTTPリクエストを受け付けるポートが外部に公開されている場合に本脆弱性の影響を受ける可能性があります。
対処方法
WebOTX V9.40(Windows版、HP-UX版)については【CVE-2016-6816】の対処を行ったパッチを提供しております。
その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合は調整しますのでご相談ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
【CVE-2016-6816】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で回避可能です。
備考
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。