ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache HTTP Web Server 2.4 における脆弱性(CVE-2021-40438)への影響と対策について

概要

Apache HTTP Server 2.4には、次の脆弱性が存在します。

  • mod_proxyにおけるリモートユーザが選択したオリジンサーバにリクエストが転送される問題
    CVE-2021-40438

WebOTX AS V9.3~V11.2では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性の影響を受けることが判明しています。
なお、Apache HTTP Server 2.4より前のバージョンについては、サポートが終了し、情報が公表されていません。脆弱性の影響がある可能性はありますが、Apache HTTP Server 2.4より前のパッチは提供されないため、WebOTXとしてもパッチの提供予定はありません。

影響のある製品

  • WebOTX Application Server Express V9.3~V10.4
  • WebOTX Application Server Standard V9.3~V10.4
  • WebOTX Application Server Enterprise V9.3~V9.6

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

詳細

■CVE-2021-40438
● 脆弱性の影響
攻撃者によって巧妙に細工されたリクエスト uri-path を介して、オリジンサーバにリクエストを転送され、機密情報へアクセスされる可能性があります。あるいは、オリジンサーバにリクエストを転送されるまでに至らず、HTTPステータスコード503(Service Temporarily Unavailable)が発生し、その後の正当なリクエストについてもHTTPステータスコード503が発生する状態となる可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxyモジュールを有効とし、次のようにリバースプロキシ機能を利用している場合に、本脆弱性の影響を受ける可能性があります。

ProxyPass xxxx "http://example.com/"

WebOTX Webサーバの設定ファイルは、mod_proxyモジュールをデフォルトでは無効化しており、利用しません。

対処方法

次の脆弱性に対応したパッチを適用してください。
その他のバージョンについてはパッチの公開時期を現在検討中です。急ぎでパッチが必要な場合はご連絡ください。

[WebOTX]Apache HTTP Server 2.4.56:OpenSSL 1.1.1t のダウンロード(V9.4/V9.3~V9.4向け)(Linux(x64)版/HP-UX(IPF)版)
[WebOTX]Apache HTTP Server 2.4.58:OpenSSL 3.0.12 のダウンロード(V10.1~V11.2向け)(Windows(x64)版/Linux(x64)版)

回避方法

URLに"unix:"が含まれているリクエストを拒否するよう設定します。
設定方法は次の通りです。

1.<WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/httpd.conf
を編集します。

1-1.以下モジュールを有効化(先頭#を削除)します。
#LoadModule rewrite_module "<略>/modules/mod_rewrite.so"

LoadModule rewrite_module "<略>/modules/mod_rewrite.so"

1-2.以下を追加します。
RewriteEngine On
RewriteCond %{THE_REQUEST} unix:+
RewriteRule .* - [F]

2.httpd.conf修正後は、WebOTX Webサーバを再起動します。
 otxadmin> login --user admin --password **** --port (ポート番号)
 otxadmin> invoke server.WebServer.stop
 otxadmin> invoke server.WebServer.start

設定後は"unix:"が含まれているリクエストを受信した場合、HTTPステータスコード403(Forbidden)を返却します。

関連情報

本脆弱性問題の詳細は、次のURLを参照してください。

更新履歴

2024/02/13 初版

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.3~V10.4
品名: WebOTX Application Server Standard V9.3~V10.4
品名: WebOTX Application Server Enterprise V9.3~V9.6
  • コンテンツID: 3010104583
  • 公開日: 2024年02月13日
  • 最終更新日:2024年02月13日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。