セキュリティ脆弱性 CVE-2014-7810 が報告されました。

Expression Language (EL) の実装においてインタフェースのロード処理に問題があり、SecurityManager 保護メカニズムを回避される脆弱性があります。

詳細は、以下の URL を参照してください。

• Apache Tomcat の Expression Language の実装における SecurityManager 保護メカニズムを回避される脆弱性
• CVE-2014-7810

Expression Language (EL) を利用した悪意のあるWeb アプリケーションを配備された場合に影響を受けます。

• WebOTX Web Edition V6.1～V6.5
• WebOTX Standard-J Edition V6.1～V6.5
• WebOTX Standard Edition V6.1～V6.5
• WebOTX Enterprise Edition V6.1～V6.5
• WebOTX UDDI Registry V1.1～V7.1
• WebOTX 開発環境 V6.1～V6.5
• WebOTX Developer V7.1～V8.5
• WebOTX Application Server Web Edition V7.1～V8.1
• WebOTX Application Server Standard-J Edition V7.1～V8.1
• WebOTX Application Server Standard Edition V7.1～V8.1
• WebOTX Application Server Enterprise Edition V7.1～V8.1
• WebOTX Application Server Express V8.2～V8.5
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V8.5
• WebOTX Application Server Enterprise V8.2～V8.5
• WebOTX Enterprise Service Bus V6.4～V8.5
• WebOTX SIP Application Server Standard Edition V7.1～V8.1
• WebOTX Portal V8.2～V8.5
• WebOTX Application Server Express V9.1～V9.3
• WebOTX Application Server Standard V9.2～V9.3
• WebOTX Application Server Enterprise V9.2～V9.3
• WebOTX Portal V9.1

※WebOTX V5.x 以前については影響を調査中です。

パッチの公開時期は現在検討中です。

急ぎでパッチが必要な場合は調整いたしますので連絡先までご相談ください。

細工された Web アプリケーションを配備されないように、Web版運用管理コンソールのポート番号（既定値では4848(WebOTX V7以前)、もしくは5858(WebOTX V8以降)）や、運用管理ポート（既定値では6212）に対し、外部からアクセスできないようにする対処(ファイアウォールの設定、もしくはWeb版運用管理コンソールの外部アクセスの無効化(※))を行うことでも対処可能です。

(※)Web版運用管理コンソールの外部アクセスの無効化は、Web版運用管理コンソールの受付アドレスをループバックアドレスに変更することで行えます。

以下にコマンドイメージを記します。

otxadmin > set server.http-service.http-listener.admin-listener.address=127.0.0.1