概要
JVNVU#91253151において、次のApache Tomcatの脆弱性が公開されました。
CVE-2023-24998
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、CVE-2023-24998のApache Tomcatの脆弱性の影響があります。
影響のある製品
次の製品が該当し、それらがサポートする全てのOSで影響があります。
WebOTX Application Server Express V10.1~V11.1 (※)
WebOTX Application Server Standard V10.1~V11.1
WebOTX Application Server Standard Extended Option V11.1
WebOTX Developer V10.1~V11.1
WebOTX OLF/TP Connect for Container V10.3
(※) WebOTX Enterprise Service Bus V10.1/V10.3、WebOTX Portal V10.1/V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
Apache Commons FileUpload 1.5より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998)が存在します。
Apache Tomcatのファイルアップロード機能にはApache Commons FileUploadパッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。
[脆弱性に該当する条件]
次のいずれかに合致する場合
- 運用管理コンソール(*1)が利用可能となっている
- Servlet API 3.0から利用可能となった「File upload機能」(*2)を利用しているアプリケーションを配備している
- Apache Tomcatの「File upload機能」(*3)を利用しているアプリケーションを配備している
*1) WebOTX Application Serverをインストールするとデフォルトで利用可能なWebOTXの運用操作をブラウザから行なうGUIツール
*2) javax.servlet.http.Part クラスを利用して実装
*3) org.apache.tomcat.util.http.fileupload パッケージのクラスを利用して実装
[脆弱性の影響]
第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
当該脆弱性は、Dos攻撃のためWAF(Web Application Firewall)等で許可していないIPアドレスを遮断するなどの設定を行う事で回避可能です。
運用管理コンソールを利用しない場合は、次の運用管理コマンドを実行して運用管理コンソールにアクセスできないようにする事で回避可能です。
コマンドの結果を反映させるにはドメインを再起動する必要があります。
otxadmin> login --user <管理用ユーザ名> --password <管理用パスワード>
otxadmin> set system-applications.application.manager.enabled=false
※管理用パスワードを変更している場合は、変更後のパスワードを指定してください。
※domain1ではない、もしくは管理用ポートを変更されている場合は次のパラメータを指定してください。
--port <管理用ポート>
関連情報
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。