ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache Tomcatにおける脆弱性(JVNVU#98086086)による影響と対策について


概要

Apache Tomcatには、次の脆弱性が存在します。

JVNVU#98086086

CVE-2020-9484
 
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。


影響のある製品

【CVE-2020-9484】

次の製品が該当し、それらがサポートする全てのOSで影響があります。

WebOTX Application Server Express V9.1~V9.4 (※)
WebOTX Application Server Standard V9.2~9.4
WebOTX Application Server Enterprise V9.2~9.6
WebOTX Developer V9.1~V9.6

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3

(※) WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

【CVE-2020-9484】

[脆弱性の影響]
攻撃者が何らかの方法でアプリケーションサーバに任意の名前・内容でファイルを配置できた場合、アプリケーションサーバ上で任意のコードが実行され、WebOTX Application Serverやシステムのファイルが削除されシステムが稼働不能になる可能性があります。


[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。

 ・攻撃者が任意の名前・内容でアプリケーションサーバにファイルを配置する(*1)
 ・セッションレプリケーションを利用するアプリケーションを配備している(*2)
 ・セッションレプリケーションの動作モードとして「AS:非同期モード(Asynchro)」を利用している(*3)
 ・セッションレプリケーションで格納先にファイルを指定している(*4)

 *1) 例えば、ファイルアップロード用のアプリケーションが動作しており、これを利用された場合など。
 *2) Webアプリケーションのweb.xmlで「 <distributable />」を指定している。
 *3) [セッションレプリケーションによるHTTPセッションの共有]のreplication-modeで「AS」を指定している。
 *4) [セッションレプリケーションによるHTTPセッションの共有]のstorage-typeかpersistence-typeで「ファイル」を指定している。



[セッションレプリケーションによるHTTPセッションの共有]

WebOTX Application Serverには、複数のサーバ間でセッションデータを複製するセッションレプリケーションという機能があります。この機能によりHTTPセッションをさまざまな格納先に保存し共有することができます。

詳しくはマニュアルの次を参照してください。

 [WebOTX V9.x]
 リファレンス集 運用管理・設定編
  > 1. コンフィグレーション(設定一覧)
  > 1.4. Webコンテナ
   > 1.4.7. HTTPセッション管理について
   > 1.4.7.3. セッションレプリケーション

 [WebOTX V10.x]
 リファレンス
  > 設定
  > 4. Webコンテナ
   > 4.6. HTTPセッション管理について
   > 4.6.3. セッションレプリケーション


 セッションレプリケーションで格納先にFILEを指定すると、次のディレクトリ・ファイル名でHTTPセッションを格納します。

  ディレクトリ:${INSTANCE_ROOT}/generated/jsp/{AP名}(既定値)
         nec-web.xml の directory で指定したディレクトリ
  ファイル名 :{SessionID}.session


 セッションレプリケーションの動作モードや格納先の設定場所には次があります。

  [MOによる指定]
  [web.xmlによる指定]
  [nec-web.xmlによる指定]


 それぞれで指定可能なパラメータの詳細は次の通りです。

 [MOによる指定]

  Dottedname : server.session-config.session-manager.manager-properties

   replication-mode
    レプリケーションモードを指定します。
    有効な値は、"RS"、"SS"、"AS"です。
    RS:即時同期モード(RealtimeSynchro)
    SS:同期モード(StandardSynchro)
    AS:非同期モード(Asynchro)

   storage-type
    セッション情報の保存タイプを指定します。
    有効な値は、"JNDI"、"DB"、"FILE" です。
    ※"FILE"は、replication-mode属性に"AS"が指定されている場合にのみ、有効です。


  Dottedname : server.session-config.session-manager.store-properties

   directory
    セッションファイルを書き込むディレクトリを指定します。
    ※この設定は、storage-type属性に"FILE"が指定されている場合にのみ有効です。


 [web.xmlによる指定]

  ルート要素

   <distributable />


 [nec-web.xmlによる指定]

  session-config > session-manager

   persistence-type
    セッション永続化の方法を指定します。
    指定できる値はmemory、 とfileです。 ※アドバンスドモードではfileは利用できません。
    [省略可]
    既定値:memory
    ※fileを指定する場合は、web.xmlに”<distributable />”の設定が必要です。

  session-config > session-manager > store-properties > property

   directory
    セッションごとのセッションファイルを保存するディレクトリを相対パスまたは絶対パスで指定します。
    相対パスの場合は、このWebアプリケーションのテンポラリディレクトリからの相対になります。
    session-manager要素のpersistence-type属性がfileの場合のみ有効です。
    既定値:<domain_dir>/generated/jsp/<appname>


対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

【CVE-2020-9484】

ファイアウォールで未知のIPからのアクセスを制限するなど、[脆弱性に該当する条件]に記載した条件のうち、いずれか一つブロックすることで回避可能です。
もしくは、HTTPリクエストに含まれるJSESSIONIDに "../.." のようなディレクトリトラバーサルと思えるパスがあった場合、ファイアウォール等で除外することで回避可能です。


関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

  • JPCERT/CC

Japan Vulnerability Notes JVNVU#98086086

https://jvn.jp/vu/JVNVU98086086/

  • CVE-2020-9484

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-9484


更新履歴

2020/06/17 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server

対象製品

品名:
品名: WebOTX Application Server Express V9.1~V9.4
品名: WebOTX Application Server Standard V9.2~V9.4
品名: WebOTX Application Server Enterprise V9.2~V9.6
品名: WebOTX Developer V9.1~V9.6
品名: WebOTX Application Server Express V10.1~V10.3
品名: WebOTX Application Server Standard V10.1~V10.3
品名: WebOTX Developer V10.1~V10.3
  • コンテンツID: 3010103096
  • 公開日: 2020年06月17日
  • 最終更新日:2020年06月17日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。