ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] JVNVU#92250735 Apache Tomcatの複数の脆弱性への影響と対策について

概要

Apache Tomcat には、次の複数の脆弱性が存在します。

JVNVU#92250735

  • CVE-2016-6816
  • CVE-2016-6817
  • CVE-2016-8735

WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。 WebOTX AS は、上記Apache Tomcatの一部脆弱性の影響があります。

影響あり

  • CVE-2016-6816

影響なし
  • CVE-2016-6817
  • CVE-2016-8735

影響のある製品

  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Standard-J Edition V6.1~V6.5
  • WebOTX Standard Edition V6.2~V6.5
  • WebOTX Enterprise Edition V6.2~V6.5
  • WebOTX 開発環境 V6.1~V6.5
  • WebOTX UDDI Registry V3.1~V3.5
  • WebOTX Enterprise Service Bus V6.4~V6.5
  • WebOTX Application Server Web Edition V7.1
  • WebOTX Application Server Standard-J Edition V7.1
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX Developer V7.1
  • WebOTX UDDI Registry V7.1
  • WebOTX Enterprise Service Bus V7.1
  • WebOTX Application Server Web Edition V8.1
  • WebOTX Application Server Standard-J Edition V8.1
  • WebOTX Application Server Express V8.2~V8.5
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V8.5
  • WebOTX Application Server Enterprise V8.2~V8.5
  • WebOTX Developer V8.1~V8.5
  • WebOTX Portal V8.2~V8.4
  • WebOTX Enterprise Service Bus V8.1~V8.5
  • WebOTX Application Server Express V9.1~V9.4
  • WebOTX Application Server Standard V9.2~9.4
  • WebOTX Application Server Enterprise V9.2~9.5
  • WebOTX Developer V9.1~V9.5
  • WebOTX Portal V9.1~V9.3
  • WebOTX Enterprise Service Bus V9.2~V9.3

(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、 WebOTX Portal V9.3にバンドルされている WebOTX Application Server Expressを使用している場合にも該当します。

詳細

【CVE-2016-6816】 [脆弱性の影響]
攻撃者によりHTTPリクエスト行に不正なキャラクタを埋め込まれた場合に、HTTPレスポンスを操作されクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、リクエストから情報を取得されたり、キャッシュポイズニング攻撃を仕掛けられる可能性があります。

[脆弱性に該当する条件]
HTTPリクエストを受け付けるポートが外部に公開されている場合に本脆弱性の影響を受ける可能性があります。

対処方法

WebOTX V9.40(Windows版、HP-UX版)については【CVE-2016-6816】の対処を行ったパッチを提供しております。

その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合は調整しますのでご相談ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

回避方法

【CVE-2016-6816】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で回避可能です。

備考

特になし

更新履歴

2018/06/07 初版

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

関連情報

  • JPCERT/CC
    • Japan Vulnerability Notes JVNVU#92250735
  • コンテンツID: 3010102411
  • 公開日: 2018年10月09日
  • 最終更新日:2018年10月09日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。