GNU Projectが提供するbashには、任意のOSコマンドが実行される脆弱性(CVE-2014-6271, CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,CVE-2014-6277,CVE-2014-6278)が存在します。

HP-UX/Linux/Solaris上で動作するWebOTX Webサーバ上でbashを呼び出すCGIスクリプトを 動作させている場合に本脆弱性の影響を受けますが、WebOTXはCGIスクリプトを同梱して 出荷していないため本脆弱性の影響はありません。

ただし、お客様自身で脆弱性の影響を受ける可能性のあるCGIスクリプトをWebOTX Webサーバ上で 動作させている場合には対処が必要となります。

脆弱性の詳細は以下のURLを参照してください。

• bash の脆弱性対策について(CVE-2014-6271 等)
• CVE-2014-6271
• CVE-2014-7169
• CVE-2014-7186
• CVE-2014-7187
• CVE-2014-6277
• CVE-2014-6278

WebOTXはCGIスクリプトを同梱して出荷していないため、本脆弱性の影響を受けません。

ただし、お客様ご自身がHP-UX/Linux/Solaris OS上で動作するWebOTX Webサーバ上で bashを呼び出すCGIスクリプトを動作させている場合に影響があります。CGIスクリプトは以下のディレクトリ(*1)に配置することで呼び出すことができます。配置されていない場合は影響はありません。

• WebOTX Webサーバ1.3をご利用の場合
  /opt/WebOTX/WebServer/cgi-bin
  
  
• WebOTX Webサーバ2.0をご利用の場合
  /opt/WebOTX/WebServer2/cgi-bin
  
  
• WebOTX Webサーバ2.2をご利用の場合
  /opt/WebOTX/WebServer22/cgi-bin
  
  

(*1) CGIスクリプトを実行するディレクトリはScriptAliasディレクティブまたはOptions ディレクティブでExecCGIまたはAllを指定することで任意の個所に変更可能です。これらの設定はhttpd.confおよびhttpd.confからincludeされているファイル中に設定されています。

HP-UX/Linux/Solaris上で動作する以下の製品

• WebOTX Web Edition V4.1～V6.5
• WebOTX Standard-J Edition V4.1～V6.5
• WebOTX Standard Edition V4.2～V6.5
• WebOTX Enterprise Edition V4.2～V6.5

• WebOTX Application Server Web Edition V7.1～V8.1
• WebOTX Application Server Standard-J Edition V7.1～V8.1
• WebOTX Application Server Standard Edition V7.1
• WebOTX Application Server Enterprise Edition V7.1

• WebOTX Application Server Express V8.2～V9.2
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V9.2
• WebOTX Application Server Enterprise V8.2～V9.2

• WebOTX Enterprise Service Bus V6.4～V9.2

• WebOTX SIP Application Server Standard Edition V7.1～V8.1

• WebOTX Portal V8.2～V9.1

• WebOTX UDDI Registry V1.1～V7.1

各OSが公開している本脆弱性への対応パッチを適用してください。
本脆弱性の影響を受ける設定を行っていない場合においても、本脆弱性に対する修正パッチの 適用をお勧めします。

回避方法はありません。OSが公開しているパッチの適用をお願いします。
ただし、修正パッチをすぐに適用できない場合は、bashを呼び出しているCGIスクリプトを 動作させないようにしていただくことをお勧めします。