Apache HTTP Server 2.4のmod_http2モジュールには、次の脆弱性が 存在します。

• リクエストヘッダを適切に制限しないことに起因するサービス運用妨害(DoS)の脆弱性

WebOTX AS V9.4では、Webサーバとして、Apache HTTP Server 2.4.xを バンドルしています。また、HTTP/2プロトコルを有効にすることが 可能です。調査の結果、WebOTX Webサーバ 2.4のHTTP/2プロトコルに おいても、上記脆弱性の影響を受けることが判明しています。

• WebOTX Application Server Express V9.4
• WebOTX Application Server Standard V9.4
• WebOTX Application Server Enterprise V9.4

CVE-2016-8740の脆弱性の影響

脆弱性に該当する条件

本脆弱性を修正した、WebOTX Webサーバ 2.4(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版) 向けのパッチモジュールを、次のページで公開しています。

• 【WebOTX】Apache HTTP Server 2.4.27：OpenSSL 1.0.2 のセキュリティ脆弱性に関するご報告

WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、 公開予定です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に 限定して提供させていただいています。まだ契約がお済みでない お客様は、保守契約締結の後、ダウンロードをお願いいたします。

HTTP/2プロトコルを無効にすることで、回避してください。
設定手順は次の通りです。

1. HTTP/2プロトコルを無効にします。

   otxadmin> login --user admin --password **** --port 6212 otxadmin> set server.WebServer.http2-enabled=false

2. Webサーバを再起動します。

   otxadmin> invoke server.WebServer.stop otxadmin> invoke server.WebServer.start

本脆弱性問題の詳細は、次のURLを参照してください。

• JVNVU#97133859
  http://jvn.jp/vu/JVNVU97133859/
  
• CVE-2016-8740
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8740
  

2017/1/5 初版

2017/10/05 第2版　「対処方法」を更新

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
   
   
2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
   
   
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、弊社では責任を負いかねますのでご了承ください。
   
   

セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。