概要
Apache Tomcat には、次の複数の脆弱性が存在します。
JVNVU#90416738
- CVE-2018-1336
- CVE-2018-8034
- CVE-2018-8037
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。
影響あり
- CVE-2018-1336
- CVE-2018-8034
- CVE-2018-8037
影響のある製品
【CVE-2018-1336、CVE-2018-8034】
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Application Server Express V9.1~V9.4
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
- WebOTX Application Server Express V10.1
- WebOTX Application Server Standard V10.1
- WebOTX Developer V10.1
- WebOTX Portal V10.1
- WebOTX Enterprise Service Bus V10.1
(※)WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、および、
WebOTX Portal V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも
該当します。
【CVE-2018-8037】
次の製品が該当し、それらがサポートする全てのOSで影響があります。
- WebOTX Application Server Express V10.1
- WebOTX Application Server Standard V10.1
- WebOTX Developer V10.1
- WebOTX Portal V10.1
- WebOTX Enterprise Service Bus V10.1
(※)WebOTX Enterprise Service Bus V10.1、および、
WebOTX Portal V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも
該当します。
詳細
【CVE-2018-1336】
[脆弱性の影響]
攻撃者がUTF-8でエンコードされたUnicode補足文字(*1)をURLパスに含む不正なリクエストを送信することで、UTF-8デコーダの不備によりデコード処理が無限ループし、サービス運用妨害(DoS)攻撃を受ける可能性があります。
(*1) U+10000 から U+10FFFF の間のコード・ポイントを持つ文字
[脆弱性に該当する条件]
Webアプリケーションを使用している場合に、本脆弱性の影響を受ける可能性があります。
【CVE-2018-8034】
[脆弱性の影響]
WebSocketクライアントではTLS接続で接続先のホスト名が検証されないため、攻撃者により中間者攻撃(man-in-the-middle attack)を仕掛けられる可能性があります。
[脆弱性に該当する条件]
WebアプリケーションがWebSocketクライアントとなって外部のサーバとHTTPS通信を行う場合に、本脆弱性の影響を受ける可能性があります。
【CVE-2018-8037】
[脆弱性の影響]
非同期タイムアウト時のコネクション管理不備により、既存のユーザセッションが別の接続に再利用され、既存ユーザーのレスポンスが別のユーザー宛のレスポンスとして返る可能性があります。
[脆弱性に該当する条件]
非同期処理機能を利用したWebアプリケーションで非同期タイムアウトとアプリケーションによる非同期処理の完了が同時に行われると、本脆弱性の影響を受ける可能性があります。
対処方法
パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
回避方法
【CVE-2018-1336】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う事で回避可能です。
- 【CVE-2018-8034】
WebOTXの設定等での回避方法はありませんが、次の方法で回避可能です。
- DMZ(非武装地帯)を設置し、Webアプリケーションが稼働するWebOTX、およびWebSocketでの通信先のサーバを安全なネットワーク内に配置する
- 【CVE-2018-8037】
次のいずれかの方法で回避可能です。
- 非同期タイムアウトの値として非同期処理の完了に要する時間よりも十分に大きい値を設定する
- 非同期処理をタイムアウトしないように設定する
非同期処理のタイムアウト値は次の方法で設定します。
- デフォルト値は10秒です
- 指定単位はミリ秒です
- -1を指定するとタイムアウトしません
- [運用管理コンソールを利用する場合]
左ペインで次のツリーをたどります。
アプリケーションサーバ > ネットワーク構成 > プロトコル構成 > protocol > {プロトコル名} > HTTP
属性タブの「非同期要求用タイムアウト」にタイムアウト値を設定します。
※{プロトコル名}は、利用するWebサーバの種別により次を設定します。
内蔵Webサーバ(HTTP) :HTTPプロトコル
内蔵Webサーバ(HTTPS) :HTTPSプロトコル
外部Webサーバ(アプリケーションをエージェントプロセスに配備 :AJPプロトコル(Agent)
外部Webサーバ(アプリケーションをプロセスグループに配備 :AJPプロトコル(TPシステム)
- [運用管理コマンドを利用する場合]
[値の確認]
otxadmin get --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <対象ドメインのポート番号> server.network-config.protocols.protocol.{protocol-name}.http.async-timeout
[値の設定]
otxadmin set ---user <ユーザ名> --password <パスワード> --host <ホスト名> --port <対象ドメインのポート番号> server.network-config.protocols.protocol.{protocol-name}.http.async-timeout={値}
※{protocol-name}は、利用するWebサーバの種別により次を設定します。
内蔵Webサーバ(HTTP) :http-protocol
内蔵Webサーバ(HTTPS) :https-protocol
外部Webサーバ(アプリケーションをエージェントプロセスに配備 :agent-ajp-protocol
外部Webサーバ(アプリケーションをプロセスグループに配備 :tpsystem-ajp-protocol
設定を行った後はドメインを再起動します。
備考
本脆弱性問題の詳細は、以下のURLを参照してください。
更新履歴
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。