[WebOTX] SSLv3.0脆弱性(CVE-2014-3566)への影響と対策について
概要
SSL 3.0(SSLv3)には仕様上の問題に起因し、通称POODLE (Padding Oracle On Downgraded Legacy Encryption)と呼ばれる脆弱性が存在することが報告されました。WebOTX WebサーバではHTTPS通信を
有効にしている場合、デフォルトでSSLv3が有効になっているため、本脆弱性の影響を受けます。
脆弱性の詳細につきましては以下のURLもご参照ください。
影響を受ける条件
WebOTXでは、以下の場合に影響があります。
- WebOTX Webサーバをご利用になり、かつHTTPS通信をご利用されている場合
- 内蔵Webサーバをご利用になり、かつHTTPS通信をご利用されている場合
WebOTX Webサーバがインストールされているかは、下記の回避方法に記載されている「対象ファイル」の存在の有無をご確認ください。
内蔵Webサーバは、WebOTX インストール時に必ずインストールされます。内蔵Webサーバをご利用の場合は、HTTPS通信が利用できる状態になっているかどうかを以下の方法でご確認ください。
- 以下のコマンドで運用管理コマンドプロンプトを起動してください。
<WebOTXインストールディレクトリ>/bin/otxadmin
- 以下の運用管理コマンドを実行し、実行結果にhttp-listerner-2 が含まれていた場合はHTTPS通信が利用できる状態のため、回避策を適用してください。
【V6~8の場合】
otxadmin> get server.http-service.virtual-server.server.http-listeners
server.http-service.virtual-server.server.http-listeners = http-listener-2
【V9の場合】
otxadmin> get server.http-service.virtual-server.server.network-listeners
server.http-service.virtual-server.server.network-listeners = http-listener-2
影響のある製品
Windows/HP-UX/Linux/Solarisで動作する以下の製品
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.2~V6.5
- WebOTX Enterprise Edition V4.2~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Application Server Express V8.2~V9.2
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.2
- WebOTX Application Server Enterprise V8.2~V9.2
- WebOTX Enterprise Service Bus V6.4~V9.2
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX UDDI Registry V1.1~V7.1
対処方法
本脆弱性に対応したWebOTX Webサーバのパッチの作成を行っております。パッチ作成が完了次第、順次Web公開しますので、適用をお願いいたします。パッチ適用までは、下記の回避方法の実施を推奨いたします。
内蔵Webサーバにつきましては、設定変更による対処になるためパッチの作成予定はありま
せん。以下に記載の回避方法の実施をお願いいたします。
回避方法
すべてのバージョンのWebOTX WebサーバにおいてSSLv3を無効化することをお勧めします。
ご使用のバージョンによってはSSLv2(*1)も有効になっている場合がありますので、SSLv2についても同時に無効化することをお勧めします。
(*1)SSLv2は、暗号強度が弱いため安全でなく、使用は推奨されておりません。
WebOTX Webサーバをご利用になり、かつHTTPS通信をご利用されている場合
SSLv2およびSSLv3を無効化するには、下記のように設定ファイルhttpd.confまたはssl.conf
に記載されている仮想ホストにおいて、SSLProtocolの設定を変更(*2)する必要があります。
(*2)ご使用のバージョンによってはSSLProtocolの設定がされていない場合があります。その場合は新規に定義してください。
【対象ファイル】
- WebOTX V4~V5の場合
<WebOTXインストールディレクトリ>/WebServer/conf/httpd.conf
- WebOTX V6以降の場合
<WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
【修正内容】
例)
<VirtualHost *:443>
(その他のディレクティブ)
SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
(その他のディレクティブ)
</VirtualHost>
|
設定を有効にするには、WebOTXの再起動を実施する必要があります。
内蔵Webサーバをご利用になり、かつHTTPS通信をご利用されている場合
SSLv2およびSSLv3を無効化する方法は、V6~V8をご利用の場合とV9をご利用の場合で異なります。各バージョンのSSLv2およびSSLv3を無効化する方法を以下に記載します。
【V6~V8の場合】
- 以下のコマンドを実行し、運用管理コマンドプロンプトを起動してください。
<WebOTXインストールディレクトリ>/bin/otxadmin
- 以下の運用管理コマンドを実行し、SSLv2およびSSLv3を無効化してください。
otxadmin> create-ssl --type http-listener --certname webotx --ssl2enabled=false --ssl3enabled=false --tlsenabled=true http-listener-2
create-sslコマンドの詳細については、マニュアルの運用管理コマンドリファレンス をご覧ください。
- 設定を反映するため、以下の運用管理コマンドを実行し、ドメインを再起動してください。
otxadmin> stop-domain <ドメイン名>
otxadmin> start-domain <ドメイン名>
- 以下の運用管理コマンドを実行し、SSLv2およびSSLv3が無効化されていることを確認してください。
otxadmin> get server.http-service.http-listener.http-listener-2.ssl.*
以下の表示の場合は、SSLv2およびSSLv3が無効になっています。
server.http-service.http-listener.http-listener-2.ssl.ssl2-enabled=false
server.http-service.http-listener.http-listener-2.ssl.ssl3-enabled=false
【V9の場合】
- 以下のコマンドを実行し、運用管理コマンドプロンプトを起動してください。
<WebOTXインストールディレクトリ>/bin/otxadmin
- 以下の運用管理コマンドを実行し、SSLv2およびSSLv3を無効化してください。
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.ssl3-enabled=false
- 設定を反映するため、以下の運用管理コマンドを実行し、ドメインを再起動してください。
otxadmin> stop-domain <ドメイン名>
otxadmin> start-domain <ドメイン名>
- 以下の運用管理コマンドを実行し、SSLv2およびSSLv3が無効化されていることを確認してください。
otxadmin> get server.network-config.protocols.protocol.https-listener.ssl
以下の表示の場合は、SSLv2およびSSLv3が無効になっています。
server.network-config.protocols.protocol.https-listener.ssl.ssl2-enabled=false
server.network-config.protocols.protocol.https-listener.ssl.ssl3-enabled=false
server.network-config.protocols.protocol.https-listener.ssl.tls-enabled=true
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010101186
-
公開日:
2014年10月24日
-
最終更新日:2014年12月18日