Apache Tomcat JK ISAPI Connector には、次の脆弱性が存在します。

JVNVU#94969247
・CVE-2018-1323

IIS用Webサーバプラグイン（isapi_redirect）の処理の中で、受け取ったリクエスト内に含まれるパスの正規化処理に、パストラバーサル(CWE-22) の脆弱性が存在します。

次の製品が該当します。

• WebOTX Web Edition V4.1～V4.2
• WebOTX Standard-J Edition V4.1～V4.2
• WebOTX Standard Edition V4.2
• WebOTX Enterprise Edition V4.2
• WebOTX UDDI Registry V1.1


• WebOTX Web Edition V5.1～V5.3
• WebOTX Standard-J Edition V5.1～V5.3
• WebOTX Standard Edition V5.1～V5.3
• WebOTX Enterprise Edition V5.1～V5.3
• WebOTX UDDI Registry V2.1


• WebOTX Web Edition V6.1～V6.5
• WebOTX Standard-J Edition V6.1～V6.5
• WebOTX Standard Edition V6.2～V6.5
• WebOTX Enterprise Edition V6.2～V6.5
• WebOTX UDDI Registry V3.1～V3.5
• WebOTX Enterprise Service Bus V6.4～V6.5


• WebOTX Application Server Web Edition V7.1
• WebOTX Application Server Standard-J Edition V7.1
• WebOTX Application Server Standard Edition V7.1
• WebOTX Application Server Enterprise Edition V7.1
• WebOTX UDDI Registry V7.1
• WebOTX Enterprise Service Bus V7.1


• WebOTX Application Server Web Edition V8.1
• WebOTX Application Server Standard-J Edition V8.1
• WebOTX Application Server Express V8.2～V8.5
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V8.5
• WebOTX Application Server Enterprise V8.2～V8.5
• WebOTX Portal V8.2～V8.4
• WebOTX Enterprise Service Bus V8.1～V8.5


• WebOTX Application Server Express V9.1～V9.4
• WebOTX Application Server Standard V9.2～9.4
• WebOTX Application Server Enterprise V9.2～9.5
• WebOTX Portal V9.1～V9.3
• WebOTX Enterprise Service Bus V9.2～V9.3


• WebOTX Application Server Express V10.1
• WebOTX Application Server Standard V10.1
• WebOTX Client V10.1
• WebOTX Enterprise Service Bus V10.1

IIS用Webサーバプラグインでは、受け取ったリクエストの URI から worker への対応付けを行う前にリクエスト中のパスの正規化処理を行いますが、この処理内にパストラバーサル(CWE-22) の脆弱性が存在します。

Webコンテナ側で処理が行われるパスのうち一部の範囲のみを IIS 経由で公開する設定にしている場合に、リバースプロキシ経由で受け取った細工されたリクエストにより、公開していないパスにアクセスされる可能性があります。

具体的には、Webコンテナに複数のWebアプリケーションを配備しているが、Webサーバプラグインの設定で一部のWebアプリケーションをアクセス制限している場合に影響があります。

以下のすべての条件を満たす場合に影響があります。

1. Webサーバ(IIS)と連携している。
2. IIS用Webサーバプラグインの動的反映オプション(既定値：On)を Off に設定している。
3. Webコンテナに複数のWebアプリケーションを配置している。
4. IIS用Webサーバプラグインの設定で一部のWebアプリケーションにアクセスできないように制限している。

本件の問題に対応する累積パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

上記の発生条件のいずれかを満たさないように変更することで回避できます。
例)IIS用Webサーバプラグインの設定で一部のWebアプリケーションにアクセスできないように制限している場合、そのアプリケーションを配備解除する。

• 運用管理コマンドご利用の場合
  otxadmin> undeploy <アプリケーション名>
• 運用管理コンソールご利用の場合
  ドメイン > アプリケーション > Webモジュール 該当する<アプリケーション>を配備解除

本脆弱性問題の詳細は、以下のURLを参照してください。

• JPCERT/CC
  Japan Vulnerability Notes JVNVU#94969247
  https://jvn.jp/vu/JVNVU94969247/
• CVE-2018-1323
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1323

2018/05/23 初版

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。