概要
Apache Tomcat には、次の脆弱性が存在します。
JVNVU#97014415
CVE-2021-25122
CVE-2021-25329
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。
CVE-2021-25122については、TLSを利用しない場合の脆弱性であり、
HTTP/2の利用でTLSが必須となるWebコンテナには影響ありません。
CVE-2021-25329については、
CVE-2020-9484 への対応が不十分であったため、あらためて修正されたものです。
CVE-2020-9484は以下の脆弱性です。
攻撃者が何らかの方法でアプリケーションサーバに任意の名前・内容でファイルを配置できた場合、
アプリケーションサーバ上で任意のコードが実行され、WebOTX Application Serverやシステムのファイルが削除されシステムが稼働不能になる可能性があります。
影響のある製品
次の製品が該当し、それらがサポートする全てのOSで影響があります。
【CVE-2021-25329】
WebOTX Application Server Express V9.1~V9.4 (※)
WebOTX Application Server Standard V9.2~V9.4
WebOTX Application Server Enterprise V9.2~V9.6
WebOTX Developer V9.1~V9.6
WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3
(※) WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、
WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
【CVE-2021-25329】
[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
・攻撃者が任意の名前・内容でアプリケーションサーバにファイルを配置する(*1)
・セッションレプリケーションを利用するアプリケーションを配備している(*2)
・セッションレプリケーションの動作モードとして「AS:非同期モード(Asynchro)」を利用している(*3)
・セッションレプリケーションで格納先にファイルを指定している(*4)
*1) 例えば、ファイルアップロード用のアプリケーションが動作しており、これを利用された場合など。
*2) Webアプリケーションのweb.xmlで「 <distributable />」を指定している。
*3) [セッションレプリケーションによるHTTPセッションの共有]のreplication-modeで「AS」を指定している。
*4) [セッションレプリケーションによるHTTPセッションの共有]のstorage-typeかpersistence-typeで「ファイル」を指定している。
[セッションレプリケーションによるHTTPセッションの共有]
WebOTX Application Serverには、複数のサーバ間でセッションデータを複製するセッションレプリケーションという機能があります。この機能によりHTTPセッションをさまざまな格納先に保存し共有することができます。
詳しくはマニュアルの次を参照してください。
[WebOTX V9.x]
リファレンス集 運用管理・設定編
> 1. コンフィグレーション(設定一覧)
> 1.4. Webコンテナ
> 1.4.7. HTTPセッション管理について
> 1.4.7.3. セッションレプリケーション
[WebOTX V10.x]
リファレンス
> 設定
> 4. Webコンテナ
> 4.6. HTTPセッション管理について
> 4.6.3. セッションレプリケーション
セッションレプリケーションで格納先にFILEを指定すると、次のディレクトリ・ファイル名でHTTPセッションを格納します。
ディレクトリ:${INSTANCE_ROOT}/generated/jsp/{AP名}(既定値)
nec-web.xml の directory で指定したディレクトリ
ファイル名 :{SessionID}.session
セッションレプリケーションの動作モードや格納先の設定場所には次があります。
[MOによる指定]
[web.xmlによる指定]
[nec-web.xmlによる指定]
それぞれで指定可能なパラメータの詳細は次の通りです。
[MOによる指定]
Dottedname : server.session-config.session-manager.manager-properties
replication-mode
レプリケーションモードを指定します。
有効な値は、"RS"、"SS"、"AS"です。
RS:即時同期モード(RealtimeSynchro)
SS:同期モード(StandardSynchro)
AS:非同期モード(Asynchro)
storage-type
セッション情報の保存タイプを指定します。
有効な値は、"JNDI"、"DB"、"FILE" です。
※"FILE"は、replication-mode属性に"AS"が指定されている場合にのみ、有効です。
Dottedname : server.session-config.session-manager.store-properties
directory
セッションファイルを書き込むディレクトリを指定します。
※この設定は、storage-type属性に"FILE"が指定されている場合にのみ有効です。
[web.xmlによる指定]
ルート要素
<distributable />
[nec-web.xmlによる指定]
session-config > session-manager
persistence-type
セッション永続化の方法を指定します。
指定できる値はmemory、 とfileです。 ※アドバンスドモードではfileは利用できません。
[省略可]
既定値:memory
※fileを指定する場合は、web.xmlに”<distributable />”の設定が必要です。
session-config > session-manager > store-properties > property
directory
セッションごとのセッションファイルを保存するディレクトリを相対パスまたは絶対パスで指定します。
相対パスの場合は、このWebアプリケーションのテンポラリディレクトリからの相対になります。
session-manager要素のpersistence-type属性がfileの場合のみ有効です。
既定値:<domain_dir>/generated/jsp/<appname>
[脆弱性の影響]
デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行されます。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
【CVE-2021-25329】
ファイアウォールで未知のIPからのアクセスを制限するなど、[脆弱性に該当する条件]に記載した条件のうち、いずれか一つブロックすることで回避可能です。
もしくは、HTTPリクエストに含まれるJSESSIONIDに "../.." のようなディレクトリトラバーサルと思えるパスがあった場合、ファイアウォール等で除外することで回避可能です。
関連情報
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。