[WebOTX] JVNVU#91991349 Apache Tomcatの複数の脆弱性への影響と対策について
概要
Apache Tomcat には、次の複数の脆弱性が存在します。
JVNVU#91991349
- CVE-2017-7674
- CVE-2017-7675
WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX AS は、上記Apache Tomcatの複数の脆弱性のうち一部脆弱性の影響があります。
影響あり
影響なし
影響のある製品
【CVE-2017-7674】
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Application Server Express V9.4~V9.5
- WebOTX Application Server Standard V9.4~V9.5
- WebOTX Application Server Enterprise V9.4~V9.5
- WebOTX Developer V9.4~V9.5
詳細
【CVE-2017-7674】
[脆弱性の影響]
WebOTX V9.4/V9.5には、CORS(Cross-Origin Resource Sharing)を実現するための専用フィルタ[CORS Filter]が同梱されています。
このCORS Filterが、リクエスト毎にレスポンスの内容が異なる事を示す”HTTP Vary ヘッダー”を追加していないため、状況によってはクライアント側とサーバ側でキャッシュポイズニングが行われる可能性があります。
[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
対処方法
パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避方法
【CVE-2017-7674】
CORS Filterを利用しないように設定変更する事で脆弱性を回避できます。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010102292
-
公開日:
2017年11月15日
-
最終更新日:2017年11月15日