[WebOTX] JVNVU#90211511 Apache Tomcatの複数の脆弱性への影響と対策について
概要
Apache Tomcat には、次の複数の脆弱性が存在します。
JVNVU#90211511
- CVE-2017-5647
- CVE-2017-5648
- CVE-2017-5650
- CVE-2017-5651
WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX AS は、上記のApache Tomcatの脆弱性のうち、CVE-2017-5647と CVE-2017-5648の脆弱性があります。
CVE-2017-5650 および CVE-2017-5651 についてはWebOTXに影響はありません。
影響のある製品
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Application Server Express V9.1~V9.4 (※)
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.4
- WebOTX Developer V9.1~V9.4
- WebOTX Portal V9.1
(※)WebOTX Enterprise Service Bus V9.2~V9.3、および、
WebOTX Portal V9.3にバンドルされている
WebOTX Application Server Expressを使用している場合にも
該当します。
詳細
【CVE-2017-5647】
[脆弱性の影響]
SendFile機能を利用してファイルをクライアントに送信する時、別のリクエストで要求したファイルを誤送信してしまい、情報が漏えいする可能性があります。
[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
- 内蔵Webサーバ(Javaベース) を利用している
- プロトコル種別に「NIO」を利用している
どのプロトコルを利用しているかを確認する方法は次の通りです。
- Web版統合運用管理コンソールで確認する場合
アプリケーションサーバ>ネットワーク構成>protocol>HTTPリスナ
プロトコルの種別:http(nio)
- 運用管理コマンドで確認する場合
otxadmin> get server.network-config.protocols.protocol.http-listener.type
server.network-config.protocols.protocol.http-listener.type = nio
- アプリケーションでSendFile するファイルを指定している
次のJavaVMプロパティで送信するファイルを指定している
-Dorg.apache.tomcat.sendfile.filename=<送信ファイル名>
【CVE-2017-5648】
[脆弱性の影響]
悪意のあるWebアプリケーションにより、別のWebアプリケーションのリクエストもしくはレスポンスの内容を盗み見られ情報が漏えいする可能性があります。
[脆弱性に該当する条件]
信頼されていない悪意のあるWebアプリケーションを配備された場合、本脆弱性の影響を受ける可能性があります。
対処方法
今後、本脆弱性を修正したパッチをリリースする予定です。
回避方法
【CVE-2017-5647】
内蔵Webサーバのプロトコル種別を「NIO」以外に変更する事で脆弱性を回避できます。
設定方法は次の通りです。
- Web版統合運用管理コンソールで確認する場合
アプリケーションサーバ>ネットワーク構成>protocol>HTTPリスナ
プロトコルの種別:http(default) もしくは http(bio)
- 運用管理コマンドで確認する場合
otxadmin> set server.network-config.protocols.protocol.http-listener.type=<種別>
種別:"grizzly" もしくは "bio"
プロトコル種別を変更した場合、設定を反映するためドメインの再起動が必要です。
【CVE-2017-5648】
回避方法はありません。今後公開されるパッチの適用をお願いします。
関連情報
本脆弱性問題の詳細は、以下のURLを参照してください。
更新履歴
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010102132
-
公開日:
2018年10月15日
-
最終更新日:2018年10月15日