【CVE-2021-25329】
[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
- 攻撃者が任意の名前・内容でアプリケーションサーバにファイルを配置する
例えば、ファイルアップロード用のアプリケーションが動作しており、これを利用された場合など。
- セッションレプリケーションを利用するアプリケーションを配備している
Webアプリケーションのweb.xmlで「<distributable />」を指定している。
- セッションレプリケーションの動作モードとして「AS:非同期モード(Asynchro)」を利用している
[セッションレプリケーションによるHTTPセッションの共有]のreplication-modeで「AS」を指定している。
- セッションレプリケーションで格納先にファイルを指定している
[セッションレプリケーションによるHTTPセッションの共有]のstorage-typeかpersistence-typeで「ファイル」を指定している。
[セッションレプリケーションによるHTTPセッションの共有]
WebOTX Application Serverには、複数のサーバ間でセッションデータを複製するセッションレプリケーションという機能があります。この機能によりHTTPセッションをさまざまな格納先に保存し共有することができます。
詳しくはマニュアルの次を参照してください。
[WebOTX V9.x]
リファレンス集 運用管理・設定編
> 1. コンフィグレーション(設定一覧)
> 1.4. Webコンテナ
> 1.4.7. HTTPセッション管理について
> 1.4.7.3. セッションレプリケーション
[WebOTX V10.x]
リファレンス
> 設定
> 4. Webコンテナ
> 4.6. HTTPセッション管理について
> 4.6.3. セッションレプリケーション
セッションレプリケーションで格納先にFILEを指定すると、次のディレクトリ・ファイル名でHTTPセッションを格納します。
ディレクトリ:${INSTANCE_ROOT}/generated/jsp/{AP名}(既定値)
nec-web.xml の directory で指定したディレクトリ
ファイル名 :{SessionID}.session
セッションレプリケーションの動作モードや格納先の設定場所には次があります。
[MOによる指定]
[web.xmlによる指定]
[nec-web.xmlによる指定]
それぞれで指定可能なパラメータの詳細は次の通りです。
[MOによる指定]
Dottedname : server.session-config.session-manager.manager-properties
replication-mode
レプリケーションモードを指定します。
有効な値は、"RS"、"SS"、"AS"です。
RS:即時同期モード(RealtimeSynchro)
SS:同期モード(StandardSynchro)
AS:非同期モード(Asynchro)
storage-type
セッション情報の保存タイプを指定します。
有効な値は、"JNDI"、"DB"、"FILE" です。
※"FILE"は、replication-mode属性に"AS"が指定されている場合にのみ、有効です。
Dottedname : server.session-config.session-manager.store-properties
directory
セッションファイルを書き込むディレクトリを指定します。
※この設定は、storage-type属性に"FILE"が指定されている場合にのみ有効です。
[web.xmlによる指定]
ルート要素
<distributable />
[nec-web.xmlによる指定]
session-config > session-manager
persistence-type
セッション永続化の方法を指定します。
指定できる値はmemory、 とfileです。 ※アドバンスドモードではfileは利用できません。
[省略可]
既定値:memory
※fileを指定する場合は、web.xmlに”<distributable />”の設定が必要です。
session-config > session-manager > store-properties > property
directory
セッションごとのセッションファイルを保存するディレクトリを相対パスまたは絶対パスで指定します。
相対パスの場合は、このWebアプリケーションのテンポラリディレクトリからの相対になります。
session-manager要素のpersistence-type属性がfileの場合のみ有効です。
既定値:<domain_dir>/generated/jsp/<appname>
[脆弱性の影響]
デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行されます。
WebOTX V10.30(Windows版/Linux版/HP-UX版) V10.20(Linux版)については【CVE-2021-25329】の対処を行ったパッチを提供しております。
上記公開済みパッチについても、より新しいパッチが公開されている場合がありますのでご確認ください。
その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。