Apache HTTP Server 2.4には、次の脆弱性が存在します。

• mod_davにおける境界外0バイトの読み取りまたは書き込みの脆弱性
  CVE-2006-20001
• mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性
  CVE-2022-36760
• mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題
  CVE-2022-37436

WebOTX AS V9.3～V11.1では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性の影響を受けることが判明しています。
なお、Apache HTTP Server 2.4より前のバージョンについては、サポートが終了し、情報が公表されていません。脆弱性の影響がある可能性はありますが、Apache HTTP Server 2.4より前のパッチは提供されないため、WebOTXとしてもパッチの提供予定はありません。

• WebOTX Application Server Express V9.3～V11.1
• WebOTX Application Server Standard V9.3～V11.1
• WebOTX Application Server Enterprise V9.3～V9.6
• WebOTX Application Server Standard Extended Option V11.1

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

■CVE-2006-20001
● 脆弱性の影響
リクエストヘッダーにより、送信されたヘッダー値を超えるプール(ヒープ)メモリの0バイト読み取り、または書き込みが発生することで、プロセスがクラッシュする可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_davモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_davモジュールを無効化しており、利用しません。

■CVE-2022-36760
● 脆弱性の影響
Apache HTTP Serverのmod_proxy_ajpのHTTPリクエストスマグリングの脆弱性が誘発され、悪意のあるリクエストをAJPサーバに転送されることにより、機密情報へのアクセスが可能となり、様々な攻撃を受ける可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxy_ajpモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_proxy_ajpモジュールを無効化しており、利用しません。

■CVE-2022-37436
● 脆弱性の影響
悪意のあるバックエンドによって応答ヘッダーが切り捨てられ、一部のヘッダーが応答本文に組み込まれる可能性があります。また切り捨てられた部分にセキュリティ関連の設定がある場合、その設定が有効になりません。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxyモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの既定の設定ファイルでは、mod_proxyモジュールを無効化しており、利用しません。

パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。

回避方法はありません。

本脆弱性問題の詳細は、次のURLを参照してください。

• JVNVU99928083
  https://jvn.jp/vu/JVNVU99928083/
• CVE-2006-20001
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-20001
• CVE-2022-36760
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36760
• CVE-2022-37436
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37436

2023/2/1 初版

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。