ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache Tomcatの複数の脆弱性(JVNVU#94679920)への影響と対策について


概要

Apache Tomcat には、次の複数の脆弱性が存在します。

JVNVU#94679920

  • CVE-2020-1935
  • CVE-2020-1938
  • CVE-2019-17569

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性のうちCVE-2020-1935とCVE-2020-1938の影響があります。

CVE-2019-17569については、Webコンテナでは影響のあるバージョンのTomcatコードを利用していないため影響ありません。


影響のある製品

【CVE-2020-1935, CVE-2020-1938】

次の製品が該当し、それらがサポートする全てのOSで影響があります。

  • WebOTX Application Server Express V9.1~V9.4 (※)
  • WebOTX Application Server Standard V9.2~9.4
  • WebOTX Application Server Enterprise V9.2~9.6
  • WebOTX Developer V9.1~V9.6
  • WebOTX Application Server Express V10.1~V10.3 (※)
  • WebOTX Application Server Standard V10.1~V10.3
  • WebOTX Developer V10.1~V10.3

(※)WebOTX Enterprise Service Bus V9.2~V9.3、V10.1とV10.3、および、 WebOTX Portal V9.1、V9.3、V10.1、にバンドルされている WebOTX Application Server Expressを使用している場合にも 該当します。


詳細

【CVE-2020-1935】

[脆弱性の影響]
WebOTX Application Serverが、攻撃者による細工された HTTP ヘッダを含む HTTP リクエストを処理した場合、HTTP Request Smuggling攻撃を受け情報を改ざんされる可能性があります。

[脆弱性に該当する条件]
WebOTX Application Serverがロードバランサーやリバースプロキシの配下にあり、両者でリクエストボディの終端の解釈が異なる場合に本脆弱性の影響を受ける可能性があります。


【CVE-2020-1938】

[脆弱性の影響]
WebOTX Application Serverが、攻撃者による細工されたApache JServ Protocol (AJP) のリクエストを処理した場合、Webアプリケーションが到達可能なディレクトリ配下の任意のファイルを読み取られる可能性があります。また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合に攻撃者に任意のコードを実行される可能性があります。

[脆弱性に該当する条件]
AJPリスナが有効な場合に本脆弱性の影響を受ける可能性があります。

AJPリスナが有効かどうかは次の運用管理コマンドで確認します。いずれも値が"true"の場合、AJPリスナが有効です。
※下記の運用管理コマンドを実行するには、まず対象ドメインにログインします。

 [V9の場合]
 otxadmin> get server.network-config.network-listeners.network-listener.ajp-listener-1.enabled
 [V10の場合]
 次の2か所の設定があります。
 otxadmin> get server.network-config.network-listeners.network-listener.agent-ajp-listener.enabled
 otxadmin> get server.network-config.network-listeners.network-listener.tpsystem-ajp-listener.enabled


対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

【CVE-2020-1935】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う事で回避可能です。

【CVE-2020-1938】
攻撃者からのApache JServ Protocol (AJP) への悪意のあるリクエストを遮断、もしくは受け付けないような設定を行う事で回避可能です。

※下記の運用管理コマンドを実行するには、まず対象ドメインにログインします。
※利用しているWebサーバの種別を確認する方法は次を参考にしてください。
 【WebOTX Application Server】利用しているWebサーバの確認方法(OTX-FAQ-000832)

1) WebOTX Webサーバ等の外部Webサーバと連携していない(内蔵Webサーバを使用)場合
  Apache JServ Protocol (AJP)は使用しておりません。そのため、AJPのリクエストを受信するリスナを無効にします。

 [V9の場合]
 otxadmin> set server.network-config.network-listeners.network-listener.ajp-listener-1.enabled=false

 [V10の場合]
 otxadmin> set server.network-config.network-listeners.network-listener.agent-ajp-listener.enabled=false
 otxadmin> set server.network-config.network-listeners.network-listener.tpsystem-ajp-listener.enabled=false

2) WebOTX Webサーバ等の外部Webサーバと連携している場合

 2-1) Webサーバとドメインが同じサーバ上で動作している場合
    次のいずれかの対応を実施してください。

      
  • ファイアウォールでWebサーバ連携ポート番号を保護する
    Apache JServ Protocol (AJP)への自マシン以外からのリクエストをファイアウォールで遮断します。

    Webサーバ連携ポート番号の確認方法
    [V9の場合]
    otxadmin> get server.network-config.network-listeners.network-listener.ajp-listener-1.port
    server.network-config.network-listeners.network-listener.ajp-listener-1.port = 8099

    [V10の場合]
    otxadmin> get server.network-config.network-listeners.network-listener.agent-ajp-listener.port
    server.network-config.network-listeners.network-listener.agent-ajp-listener.port = 8099

    otxadmin> get server.network-config.network-listeners.network-listener.tpsystem-ajp-listener.port
    server.network-config.network-listeners.network-listener.tpsystem-ajp-listener.port = 20102
  •   
  • Webサーバ連携に認可設定を行う
    Apache JServ Protocol (AJP)へ未知のIPアドレスからのリクエストをWebOTXの設定で遮断します。

    [V9の場合]
    otxadmin> set server.network-config.protocols.protocol.ajp-listener.http.required-secret={任意の文字列}

    [V10の場合]
    otxadmin> set server.network-config.protocols.protocol.agent-ajp-protocol.http.required-secret={任意の文字列}
    otxadmin> set server.network-config.protocols.protocol.tpsystem-ajp-protocol.http.required-secret={任意の文字列}

    さらに、Webサーバが動作しているマシンの以下のファイルを編集します。
    {ドメインディレクトリ}/config/WebCont/workers.properties
    次の行を追加

    [V9の場合]
    worker.ajp13.secret={任意の文字列}

    [V10の場合]
    worker.tpsystem-ajp.secret={任意の文字列}

    worker.agent-ajp.secret={任意の文字列}

    ※workerがコメント化されている場合はworkerのsecretを設定する必要はありません。

    {任意の文字列}には両方で一致する文字列を指定してください。
    {任意の文字列}は想像しにくい秘密の文字列にしてください。

 2-2) Webサーバとドメインが異なるマシン上で動作している場合

  2-2-1) Webサーバ連携に認可設定を行う。
    「2-1) Webサーバ連携に認可設定を行う」と同様

ドメイン、Webサーバを再起動して設定を反映します。


備考

本脆弱性問題の詳細は、以下のURLを参照してください。


更新履歴

2020/03/18 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。

  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。

  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.1~V9.4
品名: WebOTX Application Server Standard V9.2~9.4
品名: WebOTX Application Server Enterprise V9.2~9.6
品名: WebOTX Developer V9.1~V9.6
品名: WebOTX Application Server Express V10.1~V10.3
品名: WebOTX Application Server Standard V10.1~V10.3
品名: WebOTX Developer V10.1~V10.3
品名: WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3
品名: WebOTX Portal V9.1、V9.3、V10.1
  • コンテンツID: 3010103010
  • 公開日: 2020年03月19日
  • 最終更新日:2020年04月17日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。