概要
Apache HTTP Server 2.4には、次の脆弱性が存在します。
- mod_proxyにおけるリモートユーザが選択したオリジンサーバにリクエストが転送される問題
CVE-2021-40438
WebOTX AS V9.3~V11.2では、Webサーバとして、Apache HTTP Server 2.4.xをバンドルしています。調査の結果、WebOTX Webサーバ 2.4においても、上記脆弱性の影響を受けることが判明しています。
なお、Apache HTTP Server 2.4より前のバージョンについては、サポートが終了し、情報が公表されていません。脆弱性の影響がある可能性はありますが、Apache HTTP Server 2.4より前のパッチは提供されないため、WebOTXとしてもパッチの提供予定はありません。
影響のある製品
- WebOTX Application Server Express V9.3~V10.4
- WebOTX Application Server Standard V9.3~V10.4
- WebOTX Application Server Enterprise V9.3~V9.6
(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
■CVE-2021-40438
● 脆弱性の影響
攻撃者によって巧妙に細工されたリクエスト uri-path を介して、オリジンサーバにリクエストを転送され、機密情報へアクセスされる可能性があります。あるいは、オリジンサーバにリクエストを転送されるまでに至らず、HTTPステータスコード503(Service Temporarily Unavailable)が発生し、その後の正当なリクエストについてもHTTPステータスコード503が発生する状態となる可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_proxyモジュールを有効とし、次のようにリバースプロキシ機能を利用している場合に、本脆弱性の影響を受ける可能性があります。
ProxyPass xxxx "http://example.com/"
WebOTX Webサーバの設定ファイルは、mod_proxyモジュールをデフォルトでは無効化しており、利用しません。
対処方法
回避方法
URLに"unix:"が含まれているリクエストを拒否するよう設定します。
設定方法は次の通りです。
1.<WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/httpd.conf
を編集します。
1-1.以下モジュールを有効化(先頭#を削除)します。
#LoadModule rewrite_module "<略>/modules/mod_rewrite.so"
↓
LoadModule rewrite_module "<略>/modules/mod_rewrite.so"
1-2.以下を追加します。
RewriteEngine On
RewriteCond %{THE_REQUEST} unix:+
RewriteRule .* - [F]
2.httpd.conf修正後は、WebOTX Webサーバを再起動します。
otxadmin> login --user admin --password **** --port (ポート番号)
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
設定後は"unix:"が含まれているリクエストを受信した場合、HTTPステータスコード403(Forbidden)を返却します。
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。