概要
セキュリティ脆弱性 CVE-2014-0230 が報告されました。
Javaベースの内蔵Webサーバをご利用の場合、リクエスト処理を終了してレスポンスを返却した後もHTTPコネクションが接続されたままとなり、Webコンテナのスレッドが解放されない事象が発生する可能性があります。この事象を利用してDos攻撃を行うことで、リソースを大量に消費しサービス運用が妨害される可能性があります。
詳細は、以下の URL を参照してください。
影響を受ける条件
Javaベースの内蔵Webサーバを利用している環境において、ブラウザからアップロードを行うWebアプリケーションが存在する時に、アップロードが完了する前にアップロードを停止するといった操作を多数のクライアントから実施される場合に影響を受けます。
影響のある製品
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.1~V6.5
- WebOTX Enterprise Edition V6.1~V6.5
- WebOTX UDDI Registry V1.1~V7.1
- WebOTX 開発環境 V6.1~V6.5
- WebOTX Developer V7.1~V8.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1~V8.1
- WebOTX Application Server Enterprise Edition V7.1~V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX Enterprise Service Bus V6.4~V8.5
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX Portal V8.2~V8.5
- WebOTX Application Server Express V9.1~V9.3
- WebOTX Application Server Standard V9.2~V9.3
- WebOTX Application Server Enterprise V9.2~V9.3
- WebOTX Portal V9.1
※WebOTX V5.x 以前については影響を調査中です。
対処方法
WebOTX V8.4向けのパッチは2015/12にV8.4 WebOTX標準修正モジュールとして公開いたしました。次のダウンロードページから該当するモジュールをダウンロードしてください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
その他のバージョンについてはパッチの公開時期を現在検討中です。
本件に対するパッチ適用をお急ぎの場合はご相談ください。
回避方法
Javaベースの内蔵Webサーバを利用したままでの回避方法はありません。
なお、ご利用になるWebサーバをWebOTX Webサーバ(Apache) や IIS(Microsoft InternetInformation Services) などの「外部Webサーバ」に変更した場合は、本件の問題は発生しません。