[WebOTX] bash脆弱性(CVE-2014-6271,CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,CVE-2014-6277,CVE-2014-6278)への影響と対策について
概要
GNU Projectが提供するbashには、任意のOSコマンドが実行される脆弱性(CVE-2014-6271,
CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,CVE-2014-6277,CVE-2014-6278)が存在します。
HP-UX/Linux/Solaris上で動作するWebOTX Webサーバ上でbashを呼び出すCGIスクリプトを
動作させている場合に本脆弱性の影響を受けますが、WebOTXはCGIスクリプトを同梱して
出荷していないため本脆弱性の影響はありません。
ただし、お客様自身で脆弱性の影響を受ける可能性のあるCGIスクリプトをWebOTX Webサーバ上で
動作させている場合には対処が必要となります。
脆弱性の詳細は以下のURLを参照してください。
影響を受ける条件
WebOTXはCGIスクリプトを同梱して出荷していないため、本脆弱性の影響を受けません。
ただし、お客様ご自身がHP-UX/Linux/Solaris OS上で動作するWebOTX Webサーバ上で
bashを呼び出すCGIスクリプトを動作させている場合に影響があります。CGIスクリプトは以下のディレクトリ(*1)に配置することで呼び出すことができます。配置されていない場合は影響はありません。
- WebOTX Webサーバ1.3をご利用の場合
/opt/WebOTX/WebServer/cgi-bin
- WebOTX Webサーバ2.0をご利用の場合
/opt/WebOTX/WebServer2/cgi-bin
- WebOTX Webサーバ2.2をご利用の場合
/opt/WebOTX/WebServer22/cgi-bin
(*1) CGIスクリプトを実行するディレクトリはScriptAliasディレクティブまたはOptions
ディレクティブでExecCGIまたはAllを指定することで任意の個所に変更可能です。これらの設定はhttpd.confおよびhttpd.confからincludeされているファイル中に設定されています。
影響のある製品
HP-UX/Linux/Solaris上で動作する以下の製品
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.2~V6.5
- WebOTX Enterprise Edition V4.2~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Application Server Express V8.2~V9.2
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.2
- WebOTX Application Server Enterprise V8.2~V9.2
- WebOTX Enterprise Service Bus V6.4~V9.2
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX UDDI Registry V1.1~V7.1
対処方法
各OSが公開している本脆弱性への対応パッチを適用してください。
本脆弱性の影響を受ける設定を行っていない場合においても、本脆弱性に対する修正パッチの
適用をお勧めします。
回避方法
回避方法はありません。OSが公開しているパッチの適用をお願いします。
ただし、修正パッチをすぐに適用できない場合は、bashを呼び出しているCGIスクリプトを
動作させないようにしていただくことをお勧めします。
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010101062
-
公開日:
2014年09月30日
-
最終更新日:2014年10月17日