概要
Apache Tomcat Native には、次の脆弱性が存在します。
JVNVU#99687822
- CVE-2018-8019
- CVE-2018-8020
WebOTX Application Server では、aprリスナのためにApache Tomcat Native を提供しています。
WebOTX Application Server は、上記Apache Tomcat Native の脆弱性の影響があります。
影響のある製品
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Application Server Express V10.11~V10.12
- WebOTX Application Server Standard V10.11~V10.12
- WebOTX Portal V10.1
- WebOTX Enterprise Service Bus V10.1
詳細
【CVE-2018-8019】
[脆弱性の影響]
不正な OCSP レスポンスが適切に処理されない問題があり、失効した証明書を用いたユーザが認証されてしまう可能性があります。
[脆弱性に該当する条件]
次の条件を全て満たす場合に影響があります。
| a. |
HTTPSでクライアント認証を行う。
|
| b. |
HTTPS用のリスナプロトコルとして、種別が"apr"のJavaベースの内蔵Webサーバを利用している。
確認方法
-
利用しているリスナを確認します。
otxadmin> get server.http-service.virtual-server.server.network-listeners
設定されている{リスナ名}の一覧が表示されるため、それぞれについて確認します。
- "tpsystem-ajp-listener"の場合: 影響無し
- "agent-ajp-listener"の場合 : 影響無し
- "http-listener-1"の場合 : 影響無し
- "http-listener-2"の場合 : 2へ
- 上記以外の場合 : 2へ
-
リスナが有効か確認します。
otxadmin> get server.network-config.network-listeners.network-listener.{リスナ名}.enabled
- "false" の場合: 影響なし
- "true" の場合 : 3へ
-
プロトコルの種別が"apr"かつSSLを利用しているか確認します。
otxadmin> get server.network-config.network-listeners.network-listener.{リスナ名}.protocol
表示された{プロトコル名}で以下を確認します。
otxadmin> get server.network-config.protocols.protocol.{プロトコル名}.type
otxadmin> get server.network-config.protocols.protocol.{プロトコル名}.security-enabled
- typeが"apr" かつ security-enabledが"true" の場合: 影響あり
- 上記以外の場合 : 影響無し
|
| c. |
クライアントのCA証明書やクライアント証明書に、OCSPを利用してステータスをチェックするための情報が含まれている。
確認方法
-
Windowsの場合
%JAVA_HOME%\bin\keytool -printcert -file {証明書ファイル名}
-
その他のOSの場合
${JAVA_HOME}/bin/keytool -printcert -file {証明書ファイル名}
OCSPを利用してステータスをチェックするための情報は証明書拡張領域の以下に存在します。
ObjectId: 1.3.6.1.5.5.7.1.1
AuthorityInfoAccess [
[
accessMethod: ocsp
accessLocation: URIName: {OCSPレスポンダのURL}
]
]
|
【CVE-2018-8020】
[脆弱性の影響]
OCSP レスポンスに含まれる証明書のステータス情報が適切にチェックされない問題があり、失効した証明書を用いたユーザが認証されてしまう可能性があります。
[脆弱性に該当する条件]
【CVE-2018-8019】に同じ。
対処方法
本件の問題に対応する累積パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避方法
【CVE-2018-8019/CVE-2018-8020 共通】
WebサーバをWebOTX Webサーバに変更し、失効した証明書の確認にCRL(証明書失効リスト)ファイルを利用する事で回避可能です。
CA(認証局)から提供されるCRLファイルを取得して、以下の設定を行ってください。
※Webサーバの変更によりWebアプリケーションの動作に影響が出る事がありますので、試験環境での十分な評価をお願いします。
□WebOTX Webサーバの設定変更
-
運用管理コマンドにログインします。
otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <対象ドメインのポート番号>
-
SSLの使用を有効にします。
otxadmin> set server.WebServer.security-enabled=true
-
HTTP/2を利用している場合は、WebOTX WebサーバのHTTP/2使用を有効にします。
otxadmin> set server.WebServer.http2-enabled=true
-
SSL関連の設定を行います。
-
設定ファイル
<ドメインディレクトリ>/WebServer/ssl.conf
-
設定内容
# サーバ証明書用の設定
SSLCertificateFile "<種別が"apr"の内蔵Webサーバで利用していたサーバ証明書ファイルのパス>"
SSLCertificateKeyFile "<種別が"apr"の内蔵Webサーバで利用していた秘密鍵ファイルのパス>"
# クライアント認証用の設定
<Location <クライアント認証を行うURI>>
SSLVerifyClient require
SSLOptions +ExportCertData
</Location>
SSLCACertificateFile "<種別が"apr"の内蔵Webサーバで利用していたCA証明書ファイルのパス>"
# 証明書失効対応用の設定
SSLCARevocationCheck chain
SSLCARevocationFile "<CAから取得したCRLファイルのパス>"
□Webコンテナの設定変更
-
リスナをエージェントプロセスでWebコンテナ外部のWebサーバを利用する設定に変更します。
otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <対象ドメインのポート番号>
otxadmin> set server.http-service.virtual-server.server.network-listeners=agent-ajp-listener
otxadmin> set server.network-config.network-listeners.network-listener.agent-ajp-listener.enabled=true
-
初期設定ツールでWebOTX WebサーバとWebコンテナを連携設定します。
起動方法
-
Windows:
スタートメニュー > WebOTX 10.x > 初期設定ツール
-
その他のOS:
# <WebOTXインストールディレクトリ>/bin/setconf.sh
関連情報
本脆弱性問題の詳細は、以下のURLを参照してください。
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。