概要
Apache HTTP Server 2.4には、次の脆弱性が存在します。
- mod_session_cryptoにおけるPadding Oracle攻撃が可能になる脆弱性
CVE-2016-0736
- mod_auth_digestにおけるサービス運用妨害(DoS)の脆弱性
CVE-2016-2161
- "httpoxy"の脆弱性
CVE-2016-5387
- mod_http2におけるサービス運用妨害(DoS)の脆弱性
CVE-2016-8740
- HTTPリクエスト解析処理における脆弱性
CVE-2016-8743
WebOTX AS V9.3~V9.4では、Webサーバとして、Apache HTTP Server 2.4.xを
バンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、
上記脆弱性の影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V9.3~V9.4
- WebOTX Application Server Standard V9.3~V9.4
- WebOTX Application Server Enterprise V9.3~V9.4
詳細
■ CVE-2016-0736
●脆弱性の影響
Padding Oracle攻撃により、情報漏えいが発生する可能性があります。
●脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_session_cryptoモジュールで、セッション
情報を暗号化している場合、本脆弱性の影響を受ける可能性があります。
■ CVE-2016-2161
●脆弱性の影響
不正な入力により、サービス運用妨害(DoS)攻撃を受ける可能性が
あります。
●脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_auth_digestモジュールを利用している
場合、本脆弱性の影響を受ける可能性があります。
■ CVE-2016-5387
●脆弱性の影響
本脆弱性を悪用された場合、中間者攻撃(man-in-the-middle attack)が
行われたり、不正なホストへの接続が発生する可能性があります。
●脆弱性に該当する条件
WebOTX Webサーバ上で動作するCGIアプリケーションにおいて、
Webサーバの環境変数HTTP_PROXYを参照し、後続の処理に利用して
いる場合、本脆弱性の影響を受ける可能性があります。
■ CVE-2016-8740
●脆弱性の影響
細工されたHTTP/2リクエストにより、サーバ上のメモリを消費させる
サービス運用妨害(DoS)攻撃を受ける可能性があります。
●脆弱性に該当する条件
HTTP/2プロトコルを有効にしている場合、本脆弱性の影響を受ける
可能性があります。
HTTP/2プロトコルは、既定では無効となっています。有効かどうかは
次のコマンドでご確認頂けます。
otxadmin> login --user admin --password **** --port 6212
otxadmin> get server.WebServer.http2-enabled
上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが
有効になっています。
■ CVE-2016-8743
●脆弱性の影響
本脆弱性を悪用された場合、リクエスト分割やキャッシュ汚染が発生
する可能性があります。
●脆弱性に該当する条件
条件はありません。WebOTX Webサーバを利用している場合に影響を
受けます。
対処方法
回避方法
■ CVE-2016-0736
mod_session_cryptoでの暗号化は行わず、mod_session_dbd等を
利用してセッション管理を行ってください。
■ CVE-2016-2161
mod_auth_digest以外のモジュールで認証を行ってください。
■ CVE-2016-5387
次の公開済みページの「回避方法」で、WebOTX Webサーバに関する記述を
参照してください。
[WebOTX] CGIウェブサーバがヘッダProxyの値を環境変数HTTP_PROXYに
設定する脆弱性(CVE-2016-5387,CVE-2016-5388)の影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010101876
■ CVE-2016-8740
次の公開済みページの「回避方法」を参照してください。
[WebOTX] Apache HTTP Web ServerのHTTP/2プロトコルの処理に
サービス運用妨害(DoS)の脆弱性(CVE-2016-8740)の影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010101838
■ CVE-2016-8743
回避方法は、ありません。
関連情報
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。