概要
Apache HTTP Web Serverには、次の脆弱性が存在します。
- mod_proxyのエラーページに限定的なクロスサイトスクリプティングの脆弱性
CVE-2019-10092
- mod_rewriteに潜在的なオープンリダイレクトの脆弱性
CVE-2019-10098
- mod_http2にh2コネクション切断時における解放済みメモリ読み込みの脆弱性
CVE-2019-10082
- mod_http2にメモリ破壊の脆弱性
CVE-2019-10081
- mod_http2にh2 worker枯渇によるサービス運用妨害(DoS)攻撃の脆弱性
CVE-2019-9517
- mod_remoteipにスタックバッファオーバーフローおよびNULLポインタ逆参照の脆弱性
CVE-2019-10097
WebOTX AS V8.2~V10.2では、Webサーバとして、Apache HTTP Server 2.2.x、および、2.4.xをバンドルしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性の影響を受けることが判明しています。
影響のある製品
WebOTX Webサーバ 2.2以降の場合に、本脆弱性の影響を受ける可能性があります。
- WebOTX Application Server Express V8.2~V10.2 (※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V10.2
- WebOTX Application Server Enterprise V8.2~V9.5
- WebOTX Enterprise Service Bus V8.2~V8.5
- WebOTX Portal V8.2~V9.1
| (※) |
WebOTX Enterprise Service Bus V9.2~V10.1、および、WebOTX Portal V9.3~V10.1に同梱されているWebOTX Application Server Expressを使用している場合にも該当します。
|
詳細
WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。
【 CVE-2019-10092】
● 脆弱性の影響
不正なエラーページへのリンクを通じて、任意のページへと誘導される可能性があります。
● 脆弱性に該当する条件
mod_proxyモジュールを利用し、かつ、プロキシーエラーページが表示される設定になっている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_proxyモジュールを無効化しており、利用しません。
【CVE-2019-10098】
● 脆弱性の影響
エンコードされた改行により、予期しないURLにリダイレクトされる可能性があります。
● 脆弱性に該当する条件
mod_rewriteモジュールを利用して、自己参照を行うようなリダイレクトの設定をしている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_rewriteモジュールを無効化しており、利用しません。
【CVE-2019-10082、CVE-2019-10081、CVE-2019-9517】
● 脆弱性の影響
情報漏えいや、サービス運用妨害(DoS)攻撃を受ける可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4.xで、HTTP/2プロトコルを有効にしている場合に、本脆弱性の影響を受ける可能性があります。
HTTP/2プロトコルは、WebOTX AS V9.4以降にバンドルするWebOTX Webサーバ 2.4でサポートしており、既定では無効となっています。有効かどうかは次のコマンドでご確認頂けます。
otxadmin> login --user admin --password **** --port (対象ドメインのポート番号)
otxadmin> get server.WebServer.http2-enabled
上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが有効になっています。
【CVE-2019-10097】
● 脆弱性の影響
細工されたPROXYプロトコルヘッダにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4.xのmod_remoteipモジュールで、PROXYプロトコルを利用するように設定されている場合、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_remoteipモジュールを無効化しており、利用しません。
対処方法
パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
回避方法
【CVE-2019-10092】
回避方法はありません。
【CVE-2019-10098】
RewriteRuleディレクティブの書き換えルールにおいて、後方参照するアンカーで引用される文字列一式は、自己参照リダイレクトのプレフィックス"プロトコル://ホスト:ポート"の後に置き、意図しないホストに転送されないようにすることで、回避してください。
【CVE-2019-10082、CVE-2019-10081、CVE-2019-9517】
HTTP/2プロトコルを無効にすることで、回避してください。
設定手順は次の通りです。
1. HTTP/2プロトコルを無効にします。
otxadmin> login --user admin --password **** --port (対象ドメインのポート番号)
otxadmin> set server.WebServer.http2-enabled=false
2. Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
【CVE-2019-10097】
回避方法はありません。
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
備考
WebOTX Webサーバのバージョンの確認方法は、次の通りです。
<WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version
更新履歴
2019/10/10 初版
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。