概要
Apache Tomcat には、次の複数の脆弱性が存在します。
JVNVU#98433488
- CVE-2019-9511
- CVE-2019-9512
- CVE-2019-9513
- CVE-2019-9514
- CVE-2019-9515
- CVE-2019-9516
- CVE-2019-9517
- CVE-2019-9518
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記全てのApache Tomcatの脆弱性の影響があります。
影響のある製品
【xxx9511~xxx9518】
- WebOTX Application Server Express V10.1、V10.2
- WebOTX Application Server Standard V10.1、V10.2
- WebOTX Developer V10.1、V10.2
(※) |
V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。WebOTX Media V10 Release 1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
|
詳細
【xxx9511~xxx9518】
[脆弱性の影響]
HTTP/2接続に関する不正な操作を含むリクエストが送信された場合に、CPUやメモリのリソースの過剰消費が発生するサービス運用妨害(DoS)攻撃を受ける可能性があります。
JVNVU#98433488に含まれる次の複数の脆弱性は、いずれもHTTP/2の接続に関する脆弱性です。
【CVE-2019-9511】Data Dribble
攻撃者は、ウィンドウサイズとストリームの優先度を操作してデータが1バイト単位で処理されるようにし、CPUやメモリ、またはその両方の過剰消費を起こさせます。
【CVE-2019-9512】Ping Flood
攻撃者は、HTTP/2のpingフレームを連続的に送信して応答を行わせ、CPUやメモリ、またはその両方の過剰消費を起こさせます。
【CVE-2019-9513】Resource Loop
攻撃者は、複数のリクエストストリームを作成してこれらストリームの優先順位を連続的に変更し、CPUの過剰消費を起こさせます。
【CVE-2019-9514】Reset Flood
攻撃者は、多数のストリームをオープンして各ストリームにRST_STREAMフレームを要求する無効なリクエストを送信し、CPUやメモリ、またはその両方の過剰消費を起こさせます。
【CVE-2019-9515】Settings Flood
攻撃者は、HTTP/2のSETTINGSフレームを大量に送信して応答を行わせ、CPUやメモリ、またはその両方の過剰消費を起こさせます。
【CVE-2019-9516】0-Length Headers Leak
攻撃者は、長さ0のヘッダ名およびヘッダ値を含む HEADERSフレームを大量に送信してこのメモリの確保を行わせ、メモリの過剰消費を起こさせます。
【CVE-2019-9517】Internal Data Buffering
攻撃者は、HTTP/2ストリームをオープンしてそのウィンドウサイズを無制限に設定するとともに、TCP レベルではウィンドウサイズを制限して応答データを返せない状態にすることで、CPUやメモリ、またはその両方の過剰消費を起こさせます。
【CVE-2019-9518】Empty Frame Flooding
攻撃者は、中身が空でEND_STREAMフラグをつけていない状態のHTTP/2のフレームを大量に送信して対応を行わせ、CPUの過剰消費を起こさせます。
[脆弱性に該当する条件]
Javaベースの内蔵WebサーバでHTTP/2を利用している場合に、本脆弱性の影響を受ける可能性があります。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
【xxx9511~xxx9518】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う事で回避可能です。
備考
本脆弱性問題の詳細は、以下のURLを参照してください。
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。