WebOTX でバンドルされている Apache の CVE-2011-3192 について
概要
セキュリティ脆弱性 CVE-2011-3192 が報告されました。
詳細は、以下の URL を参照してください。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
本脆弱性は、Apache HTTP Server の 2.0.64 以前、2.2.19 以前すべてのバージョンが対象となるため、WebOTX でバンドルしている Apache 2.0/2.2 が対象となります。
Apache 1.3 系については、Apache Software Foundation から 本脆弱性に該当しないとのアナウンスがありましたが、攻撃を受けると予期しないロードを引き起こす可能性がありますので、ここでは回避策を記載します。
Apache 2.2 系につきましては、修正パッチをこちらのページで公開していますので、適用をお願いいたします。
今後の予定として、Apache 2.0 系については、Apache Software Foundation
から修正バージョンが公開された後に、修正パッチを公開する予定です。
Apache 1.3 系については、Apache Software Foundation から修正バージョンが
リリースされる予定がありませんので、修正パッチについても公開予定はありま
せん。回避策を実施してください。
影響のある製品
Apache 2.2系をバンドルしている製品
- WebOTX Application Server Express V8.2~V8.4
- WebOTX Application Server Foundation V8.2~V8.4
- WebOTX Application Server Standard V8.2~V8.4
- WebOTX Application Server Enterprise V8.2~V8.4
- WebOTX Enterprise Service Bus V8.2~V8.4
- WebOTX Portal V8.2~V8.3
Apache 2.0系をバンドルしている製品
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.1~V6.5
- WebOTX Enterprise Edition V6.1~V6.5
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1~V8.1
- WebOTX Application Server Enterprise Edition V7.1~V8.1
- WebOTX Application Server Express V8.2~V8.4
- WebOTX Application Server Foundation V8.2~V8.4
- WebOTX Application Server Standard V8.2~V8.4
- WebOTX Application Server Enterprise V8.2~V8.4
- WebOTX Enterprise Service Bus V6.4~V8.4
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX Portal V8.2~V8.3
(参考) Apache 1.3系をバンドルしている製品
※本セキュリティ脆弱性の対象外ではあるが、回避策による回避を推奨。
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.1~V6.5
- WebOTX Enterprise Edition V4.1~V6.5
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1~V8.1
- WebOTX Application Server Enterprise Edition V7.1~V8.1
- WebOTX Enterprise Service Bus V6.4~V8.1
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
回避策
Webサーバの定義ファイルを編集します。定義ファイルの編集は、WebOTX を
停止してから実施してください。定義ファイルは以下に格納されています。
<WebOTXインストールディレクトリ>/domains/<domain名>/config/WebServer/httpd.conf
なお、設定によっては、mod_headers モジュールや mod_rewrite モジュール
のロード(LoadModule)設定が必要になりますので、OS環境にあわせて、モジュ
ールのロード設定を定義してください。
-
多数の Range 指定を検出した場合、SetEnvIf、mod_headers と mod_rewriteを使用してそれを無視する。
Apache 2.2 の場合
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
LoadModule headers_module <WebOTXインストール先>/WebServer22
/modules/mod_headers.so
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
RequestHeader unset Request-Range
# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
CustomLog logs/range-CVE-2011-3192.log common env=bad-req-range
Apache 2.0 の場合
# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
LoadModule rewrite_module <WebOTXインストール先>/WebServer2
/modules/mod_rewrite.so
RewriteEngine on
RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]
RequestHeader unset Request-Range
mod_headers を使用して、Range ヘッダを無効にする。
Apache 2.2 の場合
LoadModule headers_module <WebOTXインストール先>/WebServer22
/modules/mod_headers.so
RequestHeader unset Range
RequestHeader unset Request-Range
Apache 2.0 の場合
LoadModule headers_module <WebOTXインストール先>/WebServer2
/modules/mod_headers.so
RequestHeader unset Range
RequestHeader unset Request-Range
(参考) Apache 1.3 での回避方法
mod_rewrite を利用して、多数(*)の Range 指定を受け付けた場合、または request-range 指定を受け付けた場合、403 Forbidden を返却する。
(*)この例では、Range 指定に 200バイト以上のリクエストを受け付けた場合に、403 を返却していますが、コンテンツによっては、Range指定に 200バイト以上が指定されたリクエストを受け付けたい場合もあります。その場合は、下記設定の {200} の部分を適当な値 (例えば500バイトまで受け付ける場合は、{500} ) に変更してください。
UNIX の場合
LoadModule rewrite_module <WebOTXインストール先>/WebServer
/libexec/mod_rewrite.so
RewriteEngine on
RewriteCond %{HTTP:range} .{200} [NC,OR]
RewriteCond %{HTTP:request-range} . [NC]
RewriteRule .* - [F]
Windows の場合
LoadModule rewrite_module <WebOTXインストール先>/WebServer
/modules/mod_rewrite.so
RewriteEngine on
RewriteCond %{HTTP:range} .{200} [NC,OR]
RewriteCond %{HTTP:request-range} . [NC]
RewriteRule .* - [F]
詳細は、以下の Apache のアドバイザリを参照してください。
Range header DoS vulnerability Apache HTTPD prior to 2.2.20. (CVE-2011-3192)
製品名カテゴリ
WebOTX
WebOTX Application Server
-
コンテンツID:
3010100300
-
公開日:
2011年08月31日
-
最終更新日:2011年09月22日