ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache HTTP Web Server 2.4 における複数の脆弱性(JVNVU#94306894)への影響と対策について


概要

Apache HTTP Server 2.4には、次の脆弱性が存在します。

  • mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性
    CVE-2022-26377
  • Windows環境のmod_isapiにおける境界外読み取りの脆弱性
    CVE-2022-28330
  • ap_rwrite()関数による領域外読み取りの脆弱性
    CVE-2022-28614
  • ap_strcmp_match() 関数における領域外読み取りの脆弱性
    CVE-2022-28615
  • mod_lua r:parsebodyにおけるサービス運用妨害(DoS)の脆弱性
    CVE-2022-29404
  • mod_sedにおけるサービス運用妨害(DoS)の脆弱性
    CVE-2022-30522
  • mod_luaでのwebsocketsフレームの処理における情報漏えいの脆弱性
    CVE-2022-30556
  • hop-by-hop機構によってmod_proxyのX-Forwarded-Forヘッダーがオリジンサーバに送られない脆弱性
    CVE-2022-31813

WebOTX AS V9.3~V10.4では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性のうち、CVE-2022-28330以外の影響を受けることが判明しています。


影響のある製品

  • WebOTX Application Server Express V9.3~V10.4
  • WebOTX Application Server Standard V9.3~V10.4
  • WebOTX Application Server Enterprise V9.3~V9.6

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

■CVE-2022-26377
● 脆弱性の影響
情報が搾取される可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxy_ajpモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_proxy_ajpモジュールを無効化しており、利用しません。

■CVE-2022-28330
● 脆弱性の影響
WebOTX Webサーバでは、mod_isapiモジュールを取り込んでいないため、影響を受けません。

■CVE-2022-28614
● 脆弱性の影響
情報が搾取される可能性があります。

● 脆弱性に該当する条件
ap_rwrite()関数に非常に大きな文字列(INT_MAX以上)が渡された場合は、本脆弱性の影響を受ける可能性があります。

■CVE-2022-28615
● 脆弱性の影響
クラッシュまたは、情報が搾取される可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_luaモジュールを有効とし、luaスクリプトを使用している場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_luaモジュールを無効化しており、利用しません。

■CVE-2022-29404
● 脆弱性の影響
サービス運用妨害(DoS)攻撃を受ける可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_luaモジュールを有効とし、luaスクリプトを使用している場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_luaモジュールを無効化しており、利用しません。

■CVE-2022-30522
● 脆弱性の影響
サービス運用妨害(DoS)攻撃を受ける可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_sedモジュールを有効とし、mod_sed機能を利用している場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_sedモジュールを無効化しており、利用しません。

■CVE-2022-30556
● 脆弱性の影響
情報が搾取される可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_luaモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_luaモジュールを無効化しており、利用しません。

■CVE-2022-31813
● 脆弱性の影響
認証が回避され、不正にアクセスされる可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxyモジュールを有効とし、mod_proxy機能を利用している場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_proxyモジュールを無効化しており、利用しません。


対処方法

次の脆弱性に対応したパッチを適用ください。
その他のバージョンについてはパッチの公開時期を現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
【WebOTX】Apache HTTP Server 2.4.54:OpenSSL 1.1.1p のダウンロード(V10.1~V10.4向け)(Linux(x64)版)


回避方法

■CVE-2022-26377
回避方法はありません。

■CVE-2022-28614
回避方法はありません。

■CVE-2022-28615
回避方法はありません。

■CVE-2022-29404
回避方法はありません。

■CVE-2022-30522
回避方法はありません。

■CVE-2022-30556
回避方法はありません。

■CVE-2022-31813
回避方法はありません。


関連情報


更新履歴

2022/07/28 対処方法を更新
2022/06/30 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.3~V10.4
品名: WebOTX Application Server Standard V9.3~V10.4
品名: WebOTX Application Server Enterprise V9.3~V9.6
  • コンテンツID: 3010103946
  • 公開日: 2022年06月30日
  • 最終更新日:2022年07月29日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。