ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache HTTP Web Server 2.4 における複数の脆弱性(JVNVU#94155938)への影響と対策について


概要

Apache HTTP Server 2.4には、次の脆弱性が存在します。

  • mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
    CVE-2023-25690
  • mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題
    CVE-2023-27522

WebOTX AS V9.3~V11.1では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性の影響を受けることが判明しています。
なお、Apache HTTP Server 2.4より前のバージョンについては、サポートが終了し、情報が公表されていません。脆弱性の影響がある可能性はありますが、Apache HTTP Server 2.4より前のパッチは提供されないため、WebOTXとしてもパッチの提供予定はありません。


影響のある製品

  • WebOTX Application Server Express V9.3~V11.1
  • WebOTX Application Server Standard V9.3~V11.1
  • WebOTX Application Server Enterprise V9.3~V9.6
  • WebOTX Application Server Standard Extended Option V11.1

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

■CVE-2023-25690
● 脆弱性の影響
攻撃者によってプロキシサーバのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxyモジュールおよびmod_rewriteモジュールを有効とし、"ProxyPassMatch"、または"RewriteRul"を使用して、次のように".*"など非固定パターンで定義している場合に、本脆弱性の影響を受ける可能性があります。

RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1" [P]

WebOTX Webサーバの設定ファイルは、mod_proxyモジュール、mod_rewriteモジュールを デフォルトでは無効化しており、利用しません。

■CVE-2023-27522
● 脆弱性の影響
攻撃者によってクライアントに転送されるレスポンスが切り捨てられたり、分割されたりする ことで、HTTPリクエストスマグリングの脆弱性が誘発される可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxy_uwsgiモジュールを有効とし、次のようにuwsgiプロトコルを 利用している場合に、本脆弱性の影響を受ける可能性があります。

ProxyPass "xxxx" "uwsgi://example.com/"

WebOTX Webサーバの設定ファイルは、mod_proxy_uwsgiモジュールをデフォルトでは無効化しており、 利用しません。


対処方法

次の脆弱性に対応したパッチを適用してください。
その他のバージョンについてはパッチの公開時期を現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
[WebOTX]Apache HTTP Server 2.4.56:OpenSSL 1.1.1t のダウンロード(V10.1~V11.1/V9.4、V10.1~V11.1/V9.3~V9.4向け)(Windows(x64)版/Linux(x64)版/HP-UX(IPF)版)


回避方法

回避方法はありません。


関連情報

本脆弱性問題の詳細は、次のURLを参照してください。


更新履歴

2023/05/30 対処方法の更新
2023/04/26 対処方法の更新
2023/04/14 対処方法の更新
2023/03/27 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.3~V11.1
品名: WebOTX Application Server Standard V9.3~V11.1
品名: WebOTX Application Server Enterprise V9.3~V9.6
品名: WebOTX Application Server Standard Extended Option V11.1
  • コンテンツID: 3010104217
  • 公開日: 2023年03月27日
  • 最終更新日:2023年05月30日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。