お知らせ・詳細: お知らせ・検索一覧

Apache Tomcat には、次の複数の脆弱性が存在します。

JVNVU#90211511

CVE-2017-5647
CVE-2017-5648
CVE-2017-5650
CVE-2017-5651

WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX AS は、上記のApache Tomcatの脆弱性のうち、CVE-2017-5647と CVE-2017-5648の脆弱性があります。

CVE-2017-5650 および CVE-2017-5651 についてはWebOTXに影響はありません。

次の製品が該当し、それらがサポートする全てのOSで影響があります。

WebOTX Application Server Express V9.1～V9.4 (※)
WebOTX Application Server Standard V9.2～9.4
WebOTX Application Server Enterprise V9.2～9.4
WebOTX Developer V9.1～V9.4
WebOTX Portal V9.1

(※)WebOTX Enterprise Service Bus V9.2～V9.3、および、
     WebOTX Portal V9.3にバンドルされている
     WebOTX Application Server Expressを使用している場合にも
     該当します。

【CVE-2017-5647】

[脆弱性の影響]
SendFile機能を利用してファイルをクライアントに送信する時、別のリクエストで要求したファイルを誤送信してしまい、情報が漏えいする可能性があります。

[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。

内蔵Webサーバ(Javaベース) を利用している
プロトコル種別に「NIO」を利用している

Web版統合運用管理コンソールで確認する場合

運用管理コマンドで確認する場合

アプリケーションでSendFile するファイルを指定している

【CVE-2017-5648】

[脆弱性の影響]
悪意のあるWebアプリケーションにより、別のWebアプリケーションのリクエストもしくはレスポンスの内容を盗み見られ情報が漏えいする可能性があります。

[脆弱性に該当する条件]
信頼されていない悪意のあるWebアプリケーションを配備された場合、本脆弱性の影響を受ける可能性があります。

今後、本脆弱性を修正したパッチをリリースする予定です。

【CVE-2017-5647】
内蔵Webサーバのプロトコル種別を「NIO」以外に変更する事で脆弱性を回避できます。
設定方法は次の通りです。

Web版統合運用管理コンソールで確認する場合

運用管理コマンドで確認する場合

プロトコル種別を変更した場合、設定を反映するためドメインの再起動が必要です。

【CVE-2017-5648】
回避方法はありません。今後公開されるパッチの適用をお願いします。

本脆弱性問題の詳細は、以下のURLを参照してください。

JPCERT/CC
Japan Vulnerability Notes JVNVU#94276522
https://jvn.jp/vu/JVNVU90211511/
CVE-2017-5647
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647
CVE-2017-5648
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5648
CVE-2017-5650
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5650
CVE-2017-5651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651

2017/04/24 初版

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

お知らせ

[WebOTX] JVNVU#90211511 Apache Tomcatの複数の脆弱性への影響と対策について

概要

影響のある製品

詳細

対処方法

回避方法

関連情報

更新履歴

製品名カテゴリ

サポート情報