[WebOTX] Apache HTTP Web ServerのHTTP/2プロトコルの処理におけるサービス運用妨害(DoS)の脆弱性(CVE-2016-8740)による影響と対策について
概要
Apache HTTP Server 2.4のmod_http2モジュールには、次の脆弱性が
存在します。
- リクエストヘッダを適切に制限しないことに起因するサービス運用妨害(DoS)の脆弱性
WebOTX AS V9.4では、Webサーバとして、Apache HTTP Server 2.4.xを
バンドルしています。また、HTTP/2プロトコルを有効にすることが
可能です。調査の結果、WebOTX Webサーバ 2.4のHTTP/2プロトコルに
おいても、上記脆弱性の影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V9.4
- WebOTX Application Server Standard V9.4
- WebOTX Application Server Enterprise V9.4
詳細
CVE-2016-8740の脆弱性の影響
細工されたHTTP/2リクエストにより、サーバ上のメモリを消費させる
サービス運用妨害(DoS)攻撃を受ける可能性があります。
脆弱性に該当する条件
HTTP/2プロトコルを有効にしている場合、本脆弱性の影響を受ける
可能性があります。
HTTP/2プロトコルは、既定では無効となっています。有効かどうかは
次のコマンドでご確認頂けます。
otxadmin> login --user admin --password **** --port 6212 otxadmin> get server.WebServer.http2-enabled |
上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが
有効になっています。
対処方法
本脆弱性を修正した、WebOTX Webサーバ 2.4(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
向けのパッチモジュールを、次のページで公開しています。
コンテンツID:9010107229
WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、
公開予定です。急ぎでパッチが必要な場合はご連絡ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に
限定して提供させていただいています。まだ契約がお済みでない
お客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
HTTP/2プロトコルを無効にすることで、回避してください。
設定手順は次の通りです。
- HTTP/2プロトコルを無効にします。
otxadmin> login --user admin --password **** --port 6212 otxadmin> set server.WebServer.http2-enabled=false |
- Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop otxadmin> invoke server.WebServer.start |
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
2017/1/5 初版
2017/10/05 第2版 「対処方法」を更新
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。
製品名カテゴリ
WebOTX
WebOTX Application Server
-
コンテンツID:
3010101838
-
公開日:
2017年03月02日
-
最終更新日:2017年12月21日