概要
Apache Tomcat JK mod_jk Connector には、次の脆弱性が存在します。
JVNVU#99875465
・CVE-2018-11759
WebOTX Application Server では、Apache Tomcat JK mod_jk Connector をベースにしたWebサーバプラグインとIIOPプラグイン(※両方を指す場合は、以降「プラグイン」と記載します)を提供しています。
WebOTX Application Server は、上記の Apache Tomcat JK mod_jk Connector の脆弱性の影響があります。
影響のある製品
- WebOTX Web Edition V4.1~V4.2
- WebOTX Standard-J Edition V4.1~V4.2
- WebOTX Standard Edition V4.2
- WebOTX Enterprise Edition V4.2
- WebOTX UDDI Registry V1.1
- WebOTX Web Edition V5.1~V5.3
- WebOTX Standard-J Edition V5.1~V5.3
- WebOTX Standard Edition V5.1~V5.3
- WebOTX Enterprise Edition V5.1~V5.3
- WebOTX UDDI Registry V2.1
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX UDDI Registry V3.1~V3.5
- WebOTX Enterprise Service Bus V6.4~V6.5
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX UDDI Registry V7.1
- WebOTX Enterprise Service Bus V7.1
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX Portal V8.2~V8.4
- WebOTX Enterprise Service Bus V8.1~V8.5
- WebOTX Application Server Express V9.1~V9.4 (※)
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
- WebOTX Application Server Express V10.1
- WebOTX Application Server Standard V10.1
- WebOTX Client V10.1
- WebOTX Enterprise Service Bus V10.1
(※)WebOTX Enterprise Service Bus V9.2~V9.3、および、
WebOTX Portal V9.3にバンドルされている
WebOTX Application Server Expressを使用している場合にも
該当します。
詳細
[脆弱性の影響]
プラグインは、受け取ったリクエストのURIで表現されるパスを正規化しますが、この正規化処理に問題があります。
Webコンテナに転送されるリクエストのパスのうち、このパス階層の一部範囲のみを WebOTX Webサーバ または Apache HTTP Server でアクセス制限している場合に、細工されたリクエストによりこのアクセス制限が有効にならない可能性があります。
[脆弱性に該当する条件]
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
| a. |
WebOTX Webサーバ または Apache HTTP Server と、Webコンテナが連携している。
|
| b. |
プラグインからWebコンテナへリクエストが転送されるパス配下に対して、Webサーバの設定でLocationディレクティブ等でアクセス制限している。
例. 特定のサーブレットについて、ローカルのアドレス以外からのアクセスをWebサーバで制限している。
-
プラグインの設定
パスが "/context/*" に合致する場合にWebコンテナへ転送する。
-
Webサーバの設定
パスが "/context/manager" に合致する場合にローカルのIPアドレス以外はアクセス制限をする。
|
| c. |
該当バージョンのプラグインを使用している。
| プラグインの種類 |
バージョン |
| Webサーバプラグイン |
1.2.0.x ~ 1.2.42.x |
| IIOPプラグイン |
1.0.0~1.6.2 |
プラグインのバージョンの確認方法は以下のとおりです。
〇WebOTX V4~V5 の WebOTX Webサーバ の場合
Windows
(1) 下記のコマンドを実行すると『バージョン情報フォーマット』(※1)が表示されます。
<WebOTXインストールディレクトリ>\WebServer\Apache.exe -f "<WebOTXインストールディレクトリ>\WebServer\conf\httpd.conf"
(2) CTRL+Cで終了します。
UNIX(HP-UX/Solaris/Linux)
以下のファイルで、『バージョン情報フォーマット』(※1)の行を探します。
<WebOTXインストールディレクトリ>/WebServer/logs/error_log
〇WebOTX V6~V8 の WebOTX Webサーバ の場合
以下のファイルで、後述の『バージョン情報フォーマット』(※1)の行を探します。
<ドメインディレクトリ>/logs/WebServer/error.log(※2)
〇WebOTX V9~V10 の WebOTX Webサーバ の場合
以下のファイルで、後述の『バージョン情報フォーマット』(※1)の行を探します。
<ドメインディレクトリ>/logs/web/error.log(※2)
〇Apache HTTP Server の場合
Apache HTTP Serverのエラーログファイルで、後述の『バージョン情報フォーマット』(※1)の行を探します。
(※1)バージョン情報フォーマット({プラグインのバージョン} 部分を確認します。)
Webサーバプラグインの場合
… ("Apache" | "WebOTX_Web_Server") + "/" + {WebOTX Webサーバのバージョン} … ("mod_jk" | "Webserver_Plugin") + "/" + {プラグインのバージョン} ...
IIOPプラグインの場合
… ("Apache" | "WebOTX_Web_Server") + "/" + {WebOTX Webサーバのバージョン} … ("mod_WebOTX_IIOP") + "/" + {プラグインのバージョン} ...
(※2) UNIX(HP-UX/Solaris/Linux)の場合、ファイル名は error_log となります。
|
対処方法
本件の問題に対応する累積パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避方法
Locationディレクティブ等に記述するアクセス制限条件がパスのみの場合は、プラグインのアンマウント設定を行うことで回避可能です。
本回避方法が有効なバージョンは以下のとおりです。
- WebOTX V6.1 以前かつ、過去にパッチを適用してWebサーバプラグインのバージョンが1.2.8.x以上になっている場合
- WebOTX V6.2 以降の場合
| |
アンマウント設定方法
(1) httpd.confファイルを開きます。
〇WebOTX V5 以前の WebOTX Webサーバ の場合
<WebOTXインストールディレクトリ>/WebServer/httpd.conf(※3)
〇WebOTX V6 以降の WebOTX Webサーバ の場合
<ドメインディレクトリ>/config/WebServer/httpd.conf(※3)
〇Apache HTTP Server利用の場合
<Apache HTTP Serverインストールディレクトリ>/conf/httpd.conf(※3)
(※3)既定のパス名です。カスタマイズされている場合は違う場合があります。
(2) プラグイン連携設定ファイル(mod_jk定義ファイル)のinclude定義の下部にアンマウント定義を追記します。
# TM_WS_PLUGIN-start
include " … /<プラグイン連携設定ファイル名>"
# TM_WS_PLUGIN-end
# ↓↓↓ここから追加↓↓↓
JkUnmount "/<アクセス制限するパス>" <プラグインのworker名>
# ↑↑↑ここまで追加↑↑↑
(3) Webサーバを再起動します。
|
以下のいずれかに合致する場合は回避方法がありません。
- WebOTX V4の場合
- Locationディレクティブ等に記述するアクセス制限条件に、パス以外(IPアドレス等)の要素が存在する場合
備考
本脆弱性問題の詳細は、以下のURLを参照してください。
- JPCERT/CC
Japan Vulnerability Notes JVNVU#99875465
http://jvn.jp/vu/JVNVU99875465/
- CVE-2018-11759
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11759
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。