JVNVU#97014415において、次の2個のApache Tomcatの脆弱性が公開されました。

CVE-2021-25122、CVE-2021-25329

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、CVE-2021-25329のApache Tomcatの脆弱性の影響があります。

CVE-2021-25122については、TLSを利用しない場合の脆弱性であり、HTTP/2の利用でTLSが必須となるWebコンテナには影響ありません。

CVE-2021-25329については、CVE-2020-9484 への対応が不十分であったため、あらためて修正されたものです。

　CVE-2020-9484は以下の脆弱性です。
攻撃者が何らかの方法でアプリケーションサーバに任意の名前・内容でファイルを配置できた場合、 アプリケーションサーバ上で任意のコードが実行され、WebOTX Application Serverやシステムのファイルが削除されシステムが稼働不能になる可能性があります。

次の製品が該当し、それらがサポートする全てのOSで影響があります。

【CVE-2021-25329】

WebOTX Application Server Express V9.1～V9.4 (※)
WebOTX Application Server Standard V9.2～V9.4
WebOTX Application Server Enterprise V9.2～V9.6
WebOTX Developer V9.1～V9.6

WebOTX Application Server Express V10.1～V10.3 (※)
WebOTX Application Server Standard V10.1～V10.3
WebOTX Developer V10.1～V10.3
WebOTX OLF/TP Connect for Container V10.3

(※) WebOTX Enterprise Service Bus V9.2～V9.3、V10.1、V10.3および、 WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

【CVE-2021-25329】

[脆弱性に該当する条件]

次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。

1. 攻撃者が任意の名前・内容でアプリケーションサーバにファイルを配置する
   例えば、ファイルアップロード用のアプリケーションが動作しており、これを利用された場合など。
2. セッションレプリケーションを利用するアプリケーションを配備している
   Webアプリケーションのweb.xmlで「<distributable />」を指定している。
3. セッションレプリケーションの動作モードとして「AS：非同期モード(Asynchro)」を利用している
   [セッションレプリケーションによるHTTPセッションの共有]のreplication-modeで「AS」を指定している。
4. セッションレプリケーションで格納先にファイルを指定している
   [セッションレプリケーションによるHTTPセッションの共有]のstorage-typeかpersistence-typeで「ファイル」を指定している。

[セッションレプリケーションによるHTTPセッションの共有]

WebOTX Application Serverには、複数のサーバ間でセッションデータを複製するセッションレプリケーションという機能があります。この機能によりHTTPセッションをさまざまな格納先に保存し共有することができます。

詳しくはマニュアルの次を参照してください。

　[WebOTX V9.x]
　リファレンス集 運用管理・設定編
　 ＞ 1. コンフィグレーション(設定一覧)
　　＞ 1.4. Webコンテナ
　　 ＞ 1.4.7. HTTPセッション管理について
　　　＞ 1.4.7.3. セッションレプリケーション

　[WebOTX V10.x]
　リファレンス
　 ＞ 設定
　　＞ 4. Webコンテナ
　　 ＞ 4.6. HTTPセッション管理について
　　　＞ 4.6.3. セッションレプリケーション


　セッションレプリケーションで格納先にFILEを指定すると、次のディレクトリ・ファイル名でHTTPセッションを格納します。

　　ディレクトリ：${INSTANCE_ROOT}/generated/jsp/{AP名}(既定値)
　　　　　　　　　nec-web.xml の directory で指定したディレクトリ
　　ファイル名　：{SessionID}.session


　セッションレプリケーションの動作モードや格納先の設定場所には次があります。

　　[MOによる指定]
　　[web.xmlによる指定]
　　[nec-web.xmlによる指定]


　それぞれで指定可能なパラメータの詳細は次の通りです。

　[MOによる指定]

　　Dottedname : server.session-config.session-manager.manager-properties

　　　replication-mode
　　　　レプリケーションモードを指定します。
　　　　有効な値は、"RS"、"SS"、"AS"です。
　　　　RS：即時同期モード(RealtimeSynchro)
　　　　SS：同期モード(StandardSynchro)
　　　　AS：非同期モード(Asynchro)

　　　storage-type
　　　　セッション情報の保存タイプを指定します。
　　　　有効な値は、"JNDI"、"DB"、"FILE" です。
　　　　※"FILE"は、replication-mode属性に"AS"が指定されている場合にのみ、有効です。


　　Dottedname : server.session-config.session-manager.store-properties

　　　directory
　　　　セッションファイルを書き込むディレクトリを指定します。
　　　　※この設定は、storage-type属性に"FILE"が指定されている場合にのみ有効です。


　[web.xmlによる指定]

　　ルート要素

　　 <distributable />


　[nec-web.xmlによる指定]

　　session-config ＞ session-manager

　　　persistence-type
　　　　セッション永続化の方法を指定します。
　　　　指定できる値はmemory、 とfileです。 ※アドバンスドモードではfileは利用できません。
　　　　[省略可]
　　　　既定値：memory
　　　　※fileを指定する場合は、web.xmlに”<distributable />”の設定が必要です。

　　session-config ＞ session-manager ＞ store-properties ＞ property

　　　directory
　　　　セッションごとのセッションファイルを保存するディレクトリを相対パスまたは絶対パスで指定します。
　　　　相対パスの場合は、このWebアプリケーションのテンポラリディレクトリからの相対になります。
　　　　session-manager要素のpersistence-type属性がfileの場合のみ有効です。
　　　　既定値：<domain_dir>/generated/jsp/<appname>


[脆弱性の影響]
デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行されます。

WebOTX V10.30(Windows版/Linux版/HP-UX版） V10.20(Linux版)については【CVE-2021-25329】の対処を行ったパッチを提供しております。

• WebOTX AS V10.20 パッチモジュール (10.20.00.04)(Linux版)
• WebOTX AS V10.30 パッチモジュール (10.30.00.03)(Windows版/Linux版/HP-UX版)

上記公開済みパッチについても、より新しいパッチが公開されている場合がありますのでご確認ください。

その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

【CVE-2021-25329】
ファイアウォールで未知のIPからのアクセスを制限するなど、[脆弱性に該当する条件]に記載した条件のうち、いずれか一つブロックすることで回避可能です。
もしくは、HTTPリクエストに含まれるJSESSIONIDに "../.." のようなディレクトリトラバーサルと思えるパスがあった場合、ファイアウォール等で除外することで回避可能です。

本脆弱性問題の詳細は、以下のURLを参照してください。

• JPCERT/CC

Japan Vulnerability Notes JVNVU#97014415

https://jvn.jp/vu/JVNVU97014415/

• CVE-2021-25329

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25329

2021/03/24 初版
2022/03/04 第2版 対処方法にV10.30、V10.20のパッチ公開情報を追加
2022/05/13 第3版 対処方法にV10.30.00.03のパッチ公開情報を追加

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。