[WebOTX]XML 外部エンティティ (XXE) の問題により、アプリケーションサーバの内部情報を取得される脆弱性(CVE-2013-4590)への影響と対策について
概要
セキュリティ脆弱性 CVE-2013-4590 が報告されました。
攻撃者により、エンティティ参照に関連する外部エンティティ宣言を含む web.xml、*.jspx、*.tagx、または *.tld XML ドキュメントに細工されたWeb アプリケーションを介して、アプリケーションサーバの内部情報を取得される脆弱性があります。
詳細は、以下の URL を参照してください。
影響を受ける条件
エンティティ参照に関連する外部エンティティ宣言を含む web.xml、*.jspx、*.tagx、または *.tld XML ドキュメントに細工されたWeb アプリケーションが配備されている場合に影響を受けます。
影響のある製品
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.1~V6.5
- WebOTX Enterprise Edition V6.1~V6.5
- WebOTX UDDI Registry V1.1~V7.1
- WebOTX 開発環境 V6.1~V6.5
- WebOTX Developer V7.1~V8.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1~V8.1
- WebOTX Application Server Enterprise Edition V7.1~V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX Enterprise Service Bus V6.4~V8.5
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX Portal V8.2~V8.5
- WebOTX Application Server Express V9.1~V9.2
- WebOTX Application Server Standard V9.2
- WebOTX Application Server Enterprise V9.2
- WebOTX Portal V9.1
対処方法
パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は調整しますのでご相談ください。
回避方法
回避方法はありません。
細工された Web アプリケーションを配備されないように、Web版運用管理コンソールのポート番号(既定値では4848(WebOTX V7以前)、もしくは5858(WebOTX V8以降))や、運用管理ポート(既定値では6212)に対し、外部からアクセスできないようにする対処(ファイアウォールの設定、もしくはWeb版運用管理コンソールの外部アクセスの無効化(※))を行うことでも対処可能です。
(※)Web版運用管理コンソールの外部アクセスの無効化は、Web版運用管理コンソールの受付アドレスをループバックアドレスに変更することで行えます。
以下にコマンドイメージを記します。
otxadmin > set server.http-service.http-listener.admin-listener.address=127.0.0.1
製品名カテゴリ
WebOTX
WebOTX Application Server
-
コンテンツID:
3010100987
-
公開日:
2014年07月29日
-
最終更新日:2014年07月29日