Apache Tomcat には、次の複数の脆弱性が存在します。

JVNVU#99259676

• CVE-2017-12615
• CVE-2017-12616
• CVE-2017-12617

WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX AS は、上記Apache Tomcatの脆弱性の影響があります。

【CVE-2017-12615、CVE-2017-12616】

次の製品が該当し、それらがサポートする全てのOSで影響があります。

• WebOTX Application Server Express V9.1～V9.4
• WebOTX Application Server Standard V9.2～9.4
• WebOTX Application Server Enterprise V9.2～9.5
• WebOTX Developer V9.1～V9.5
• WebOTX Portal V9.1～V9.3
• WebOTX Enterprise Service Bus V9.2～V9.3

【CVE-2017-12617】

次の製品が該当し、それらがサポートする全てのOSで影響があります。

• WebOTX Web Edition V5.2～V5.3
• WebOTX Standard-J Edition V5.2～V5.3
• WebOTX Standard Edition V5.2～V5.3
• WebOTX Enterprise Edition V5.2～V5.3
• WebOTX UDDI Registry V2.1

• WebOTX Web Edition V6.1～V6.5
• WebOTX Standard-J Edition V6.1～V6.5
• WebOTX Standard Edition V6.2～V6.5
• WebOTX Enterprise Edition V6.2～V6.5
• WebOTX 開発環境 V6.1～V6.5
• WebOTX UDDI Registry V3.1～V3.5
• WebOTX Enterprise Service Bus V6.4～V6.5

• WebOTX Application Server Web Edition V7.1
• WebOTX Application Server Standard-J Edition V7.1
• WebOTX Application Server Standard Edition V7.1
• WebOTX Application Server Enterprise Edition V7.1
• WebOTX Developer V7.1
• WebOTX UDDI Registry V7.1
• WebOTX Enterprise Service Bus V7.1

• WebOTX Application Server Web Edition V8.1
• WebOTX Application Server Standard-J Edition V8.1
• WebOTX Application Server Express V8.2～V8.5
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V8.5
• WebOTX Application Server Enterprise V8.2～V8.5
• WebOTX Developer V8.1～V8.5
• WebOTX Portal V8.2～V8.4
• WebOTX Enterprise Service Bus V8.1～V8.5

• WebOTX Application Server Express V9.1～V9.4
• WebOTX Application Server Standard V9.2～9.4
• WebOTX Application Server Enterprise V9.2～9.5
• WebOTX Developer V9.1～V9.5
• WebOTX Portal V9.1～V9.3
• WebOTX Enterprise Service Bus V9.2～V9.3

【CVE-2017-12615、CVE-2017-12617】

[脆弱性の影響]
DefaultServletに対してreadonlyをfalseにする設定を追加している場合に、JSPファイルをアップロードされ、任意のコードが実行される可能性があります。

[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。

• WindowsのOS上でWebOTX ASを起動している
  （CVE-2017-12615の場合のみ。CVE-2017-12617はOSに関係なく脆弱性の影響を受ける可能性があります。）

• {ドメインディレクトリ}/config/default-web.xmlもしくは各Webアプリケーションのweb.xmlにて、以下のようにDefaultServletに対してreadonlyをfalseにする設定を追加している（デフォルトはtrue)

  <servlet>

  <servlet-name>default</servlet-name>
  <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
  ・・・
  <init-param>

  <param-name>readonly</param-name>
  <param-value>false</param-value>

  </init-param>
  ・・・

  </servlet>

※WebOTX V5の場合は上記のdefault-web.xmlに対応するファイルは以下です。
　　　{Webコンテナインストールディレクトリ}/conf/web.xml

【CVE-2017-12616】

[脆弱性の影響]
VirtualDirContextを利用している場合に、細工したリクエストを受けることでセキュリティ制限がバイパスされ、VirtualDirContextを使用したリソース配下のJSPソースコードを閲覧され、情報が漏えいする可能性があります。

[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。

• Webアプリケーション内でorg.apache.naming.resources.VirtualDirContextクラスのAPIを使用している

パッチの公開時期は現在検討中です。

急ぎでパッチが必要な場合はご連絡ください。

【CVE-2017-12615、CVE-2017-12617】
DefaultServletに対してreadonlyをfalseにする設定を追加しないようにする事で脆弱性を回避できます。

【CVE-2017-12616】
Webアプリケーション内でorg.apache.naming.resources.VirtualDirContextクラスのAPIを使用しないようにする事で脆弱性を回避できます。

本脆弱性問題の詳細は、以下のURLを参照してください。

• JPCERT/CC
  Japan Vulnerability Notes JVNVU#99259676
• CVE-2017-12615
• CVE-2017-12616
• CVE-2017-12617

2017/10/02 初版

2017/10/12 第2版 CVE-2017-12617を追記

2017/10/24 第3版 CVE-2017-12617のWebOTX V8.x 以前の影響について追記

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。