ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] HTTP/2の実装に対するサービス運用妨害(DoS)攻撃手法 (JVNVU#98433488)への影響と対策について


概要

HTTP/2実装に対する、様々なサービス運用妨害(DoS)攻撃手法が報告されています。

  • Data Dribble - CVE-2019-9511
    攻撃者は複数のストリームを通じて大きなサイズのデータをリクエストし、データが1バイト単位で処理されるように仕向けます。
  • Ping Flood - CVE-2019-9512
    攻撃者はHTTP/2のpingフレームを連続的に送信します。
  • Resource Loop - CVE-2019-9513
    攻撃者は複数のリクエストストリームを作成し、連続的にストリームの優先順位の変更を行います。
  • Reset Flood - CVE-2019-9514
    攻撃者はいくつものストリームをオープンし、各ストリームに無効なリクエストを送信して、RST_STREAMフレームを返すように仕向けます。
  • Settings Flood - CVE-2019-9515
    攻撃者は大量のSETTINGSフレームを送信します。
  • 0-Length Headers Leak - CVE-2019-9516
    攻撃者は長さ0のヘッダ名およびヘッダ値を含むHEADERSフレームを大量に送信します。
  • Internal Data Buffering - CVE-2019-9517
    攻撃者はHTTP/2ストリームをオープンしてそのウインドウサイズを無制限に設定するとともに、TCPレベルではウインドウサイズを制限し、応答データを返せない状態にします。
  • Empty Frame Flooding - CVE-2019-9518
    攻撃者は、中身が空でEND_STREAMフラグをつけていない状態のフレームを大量に送信します。

WebOTX AS V9.4以降のWebOTX Webサーバ 2.4.xでは、HTTP/2プロトコルをサポートしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性の影響を受けることが判明しています。


影響のある製品

WebOTX AS V9.4以降のWebOTX Webサーバ 2.4で、本脆弱性の影響を受ける可能性があります。

  • WebOTX Application Server Express V9.4~V10.2 (※)
  • WebOTX Application Server Standard V9.4~V10.2
  • WebOTX Application Server Enterprise V9.4~V9.5

(※) WebOTX Enterprise Service Bus V10.1、および、WebOTX Portal V9.3~V10.1に同梱されているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。

● 脆弱性の影響
サービス運用妨害(DoS)攻撃を受ける可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4.xで、HTTP/2プロトコルを有効にしている場合に、本脆弱性の影響を受ける可能性があります。

HTTP/2プロトコルは、WebOTX AS V9.4以降にバンドルするWebOTX Webサーバ 2.4でサポートしており、既定では無効となっています。有効かどうかは次のコマンドでご確認頂けます。

otxadmin> login --user admin --password **** --port (対象ドメインのポート番号)
otxadmin> get server.WebServer.http2-enabled
上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが有効になっています。


対処方法

パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。


回避方法

HTTP/2プロトコルを無効にすることで、回避してください。
設定手順は次の通りです。

  1. HTTP/2プロトコルを無効にします。
    otxadmin> login --user admin --password **** --port (対象ドメインのポート番号)
    otxadmin> set server.WebServer.http2-enabled=false
  2. Webサーバを再起動します。
    otxadmin> invoke server.WebServer.stop
    otxadmin> invoke server.WebServer.start

関連情報


備考

WebOTX Webサーバのバージョンの確認方法は、次の通りです。

<WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version


更新履歴

2019/10/10 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

  • コンテンツID: 3010102880
  • 公開日: 2019年10月10日
  • 最終更新日:2019年10月10日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。