パッチモジュール公開済みの製品をご利用の場合
下記に挙げた製品をご利用の場合は、該当する製品の最新パッチモジュールを適用してください。
(※1) V8.42.00.01パッチ、V8.42.01.04パッチ、V8.41.00.04パッチ、および V8.31.01.08パッチは、リクエストパラメータ数の上限値を上まったことを示すログが出たのち、WebOTX再起動まで500エラーが継続的に発生する不具合を検出しました。
- V8.42.01.04 … 不具合を修正した V8.42.01.05 を公開しました(2012/12/13)
- V8.42.00.01 … 不具合を修正した V8.42.00.02 を公開しました(2012/9/19)
- V8.41.00.04 … 不具合を修正した V8.41.00.05 を公開しました(2013/2/18)
- V8.31.01.08 … 不具合を修正した V8.31.01.09 を公開しました(2013/3/5)
不具合の存在するパッチをご利用のお客様は、暫定対処として各パッチの readmeに記載の手順にてリクエストパラメータの上限値を無制限にするとともに、後述の「上記以外の製品をご利用の場合 」に記載の手順にて脆弱性の軽減の対処をして下さい。
V8.42.00.01パッチ、V8.42.01.04パッチ、V8.41.00.04パッチ、および V8.31.01.08パッチについて、上記の不具合(※1)を修正した、V8.42.01.05パッチ(2013/12/13)、V8.42.00.02パッチ(2012/9/19)、V8.41.00.05パッチ(2013/2/18)、および V8.31.01.09パッチ(2013/3/5)を公開いたしました。該当するパッチをご適用の場合はアップデートをお願いいたします。上記の不具合(※1) のために軽減策の対処を実施していた場合はその対処を元に戻していただいてかまいません(別の意図がありパラメータのサイズを設定している場合はこの限りではありません)。(2013/6/13)
(※2)パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
なお、パッチのバージョンによってデフォルトで制限されるリクエストパラメータの上限値が以下のように異なります(2013/6/13 現在)。
バージョンによるデフォルトの上限値の違い
|
1,000 |
10,000 |
V6.22 |
V6.22.16.00 |
V6.22.17.00 以降 |
V8.22 |
V8.22.01.00 |
V8.22.01.02 以降 |
V8.31 |
V8.31.01.07 |
V8.31.01.08 以降(※1) |
V8.41 |
V8.41.00.00-8.41.00.03 |
V8.41.00.04 以降(※1) |
V8.42.00 |
V8.42.00.00-8.42.00.01 |
V8.42.00.02 以降(※1) |
V8.42.01 |
V8.42.01.00-8.42.01.04 |
V8.42.01.05 以降(※1) |
上記以外 |
上限値指定機能なし(無制限) |
いずれのパッチにおいても、システムでのリクエストパラメータの利用状況によっては、パッチを適用すると上限値に抵触し警告メッセージが出力される可能性があります。パッチ適用時には、自システムが利用するリクエストパラメータの上限値を確認した上で、パラメータ(maxParameterCount)で必ず上限値を調整してください。
例えば、次のような警告メッセージが出力されます。
"WARN More than the maximum number of request parameters (GET plus POST) for a single request ([1,001]) were detected. Any parameters beyond this limit have been ignored. To change this limit, set the maxParameterCount attribute on the Connector."
この場合は、パラメータ数が上限の 1,000 を超えた事を示しています。実際にいくつのパラメータが送られてきたのかはログからは分かりませんので、アプリケーションの実装などでシステムで扱うリクエストパラメータの上限値を確認のうえ、maxParameterCount で設定してください。設定方法など詳細は、各パッチの readme をご覧ください。
(※3)WebOTX Media V8.5 から WebOTX Application Server V8.4 をインストールした場合、製品出荷版に上記パッチモジュールの修正内容が含まれていますので、別途パッチモジュールを適用する必要はありません。
上記以外の製品をご利用の場合
影響を軽減するために以下の対策を実施してください。
外部Webサーバをご利用の場合は、外部Webサーバのパラメータで POSTサイズの最大値を設定することにより被害を軽減できます。
内蔵Webサーバをご利用の場合は、WebOTX Webコンテナのパラメータで POSTサイズの最大値を設定することにより被害を軽減できます。
POSTサイズの最大値を設定する場合は、ユーザアプリケーションとして考えられるPOSTサイズの最大値を設定してください。
(※) POSTサイズの最大値変更にともなう注意事項
例えば、大きなファイルをアップロードする事が想定されるシステムでは、POSTサイズの最大値を設定すると必要なファイルがアップロードできなくなる可能性があります。
(※) WebOTX Webコンテナの注意事項
WebOTX Webコンテナで POSTサイズの最大値を設定できるのは V6.31 以上となります。それより前のバージョンでは、Webサーバでの回避をお願いします。
WebOTX Webサーバ(Apache)で制限する場合
POSTで扱える最大データサイズを指定するのは LimitRequestBody ディレクティブです。
WebOTX Webサーバの設定ファイルである次のファイルに追記します。
<ドメインディレクトリ>/config/WebServer/httpd.conf
LimitRequestBody 50000
【参考URL】
IIS(Internet Information Service) で制限する場合
IIS において、パラメータの最大データサイズを指定する方法は次の通りです。
※下記は、IIS7.x での設定方法です。
- POSTメソッドの場合
POSTメソッドで扱える最大データサイズを指定するのは maxAllowedContentLength です。
例えば、3000 で指定する場合は次のようにします(単位はバイト)。
- GETメソッドの場合
GETメソッドで扱える最大データサイズを指定するのは、URL長を制限する maxUrl です。
例えば、3000 で指定する場合は次のようにします(単位はバイト)。
詳細は、下記「参考URL」にある Webサイトを参照してください。
【参考URL】
WebOTX Webコンテナで制限する場合
POSTで扱える最大データサイズを指定するのは maxPostSize プロパティです。
(バージョン7以前は "max-post-size" というプロパティ名になります)
マニュアルでは、以下の場所に記載があります。
- WebOTX Manual V6.5
運用編
コンフィグレーション
6.Web コンテナに関する設定
6.2.Web コンテナ設定項目一覧
※ただし、V6.31 以上で利用可能
※設定箇所、パラメータ名は V6.x で共通です
- WebOTX Manual V7.1
運用編
4. コンフィグレーション
コンフィグレーション(設定一覧)
5. Webコンテナに関する設定
5.2. Webコンテナ設定項目一覧
- WebOTX Manual V8.4
リファレンス集 運用管理・設定編
1. コンフィグレーション(設定一覧)
1.4. Webコンテナ
.4.2. Webコンテナ設定項目一覧
※設定箇所、パラメータ名は V8.x で共通です
運用管理コマンドで設定する場合の設定例は次の通りです。
- WebOTX V7 以前の場合:
otxadmin> set --user [運用ユーザ名] --password [パスワード] server.http-service.http-listener.http-listener-1.property.max-post-size=50000
- WebOTX V8 の場合:
otxadmin> set --user [運用ユーザ名] --password [パスワード] server.http-service.http-listener.http-listener-1.property.maxPostSize=50000
(※) コマンドは、改行せずに1行で入力してください。