概要
Apache Tomcat には、次の複数の脆弱性が存在します。
- CVE-2016-0762
- CVE-2016-5018
- CVE-2016-6794
- CVE-2016-6796
- CVE-2016-6797
WebOTX AS では、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX AS は、上記Apache Tomcatの一部脆弱性の影響があります。
影響あり
- CVE-2016-5018
- CVE-2016-6796
影響なし
- CVE-2016-0762
- CVE-2016-6794
- CVE-2016-6797
影響のある製品
【CVE-2016-5018、CVE-2016-6796】
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Web Edition V5.1~V5.3
- WebOTX Standard-J Edition V5.1~V5.3
- WebOTX Standard Edition V5.1~V5.3
- WebOTX Enterprise Edition V5.1~V5.3
- WebOTX UDDI Registry V2.1
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX 開発環境 V6.1~V6.5
- WebOTX UDDI Registry V3.1~V3.5
- WebOTX Enterprise Service Bus V6.4~V6.5
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Developer V7.1
- WebOTX UDDI Registry V7.1
- WebOTX Enterprise Service Bus V7.1
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX Developer V8.1~V8.5
- WebOTX Portal V8.2~V8.4
- WebOTX Enterprise Service Bus V8.1~V8.5
- WebOTX Application Server Express V9.1~V9.4
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
(※)WebOTX Enterprise Service Bus V9.2~V9.3、および、
WebOTX Portal V9.3にバンドルされている
WebOTX Application Server Expressを使用している場合にも
該当します。
【CVE-2016-6796】
CVE-2016-6796については次の製品も該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Web Edition V4.1~V4.2
- WebOTX Standard-J Edition V4.1~V4.2
- WebOTX Standard Edition V4.2
- WebOTX Enterprise Edition V4.2
- WebOTX UDDI Registry V1.1
詳細
【CVE-2016-5018】
[脆弱性の影響]
Tomcatのユーティリティメソッド(org.apache.jasper.runtime.JspRuntimeLibraryクラスのメソッド)を使用するWebアプリケーションを配備された場合に、セキュリティマネージャーの制限を回避される可能性があります。
[脆弱性に該当する条件]
運用管理用ポートが外部に公開されており、悪意のあるWebアプリケーションを外部から配備する事が可能な場合に本脆弱性の影響を受ける可能性があります。
【CVE-2016-6796】
[脆弱性の影響]
WebOTXをインストールした初期状態(セキュリティマネージャーが有効な状態)でも、不正なアプリケーションをインストールされてJSPファイルのコンパイル設定パラメータを変更される可能性があります。
[脆弱性に該当する条件]
運用管理用ポートが外部に公開されており、悪意のあるWebアプリケーションを外部から配備する事が可能な場合に本脆弱性の影響を受ける可能性があります。
対処方法
パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は調整しますのでご相談ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
【CVE-2016-5018、CVE-2016-6796】
悪意のあるWebアプリケーションを外部から配備されないようにファイアウォールで運用管理用ポートを遮断する事で回避できます。
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。