ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache Tomcatにおける複数の脆弱性(JVNVU#90271471)による影響と対策について


概要

JVNVU#90271471において、次のApache Tomcatの脆弱性が公開されました。

・CVE-2024-52316
・CVE-2024-52317
・CVE-2024-52318

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。

CVE-2024-52318については、Webコンテナでは影響のあるバージョンのTomcatコードを利用していないため影響ありません。


影響のある製品

次の製品が該当し、それらがサポートする全てのOSで影響があります。

【CVE-2024-52316】

  • WebOTX Application Server Express V10.1~V11.2 (※)
  • WebOTX Application Server Standard V10.1~V11.2
  • WebOTX Application Server Standard Extended Option V11.1~V11.2
  • WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)

(※) WebOTX Enterprise Service Bus V10.1/V10.3/V11.1、WebOTX Portal V10.1/V10.4/V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


【CVE-2024-52317】

  • WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)

詳細

【CVE-2024-52316】

[脆弱性に該当する条件]
次の条件に合致した場合

  • Java Authentication Service Provider Interface for Containers (JASPIC) のjavax.security.auth.message.config.ServerAuthContextコンポーネントを使用

[脆弱性の影響]

システムにおいて、Java Authentication Service Provider Interface for Containers (JASPIC)を利用したカスタムの 認証プロバイダーを実装し、かつServerAuthContextコンポーネントを使用するように設定している時、そのコンポーネン トが認証プロセス中に例外をスローした際に失敗を示すHTTPステータスを明示的に設定しない場合、認証に失敗せず ユーザーが認証プロセスをバイパスできる可能性があります。


【CVE-2024-52317】

[脆弱性に該当する条件]
次の全ての条件に合致した場合

  • Javaベースの内蔵Webサーバを利用 (※1)
  • HTTP/2を利用している (※2)

 ※1)
 【WebOTX Application Server】利用しているWebサーバの確認方法(OTX-FAQ-000832)

https://www.support.nec.co.jp/View.aspx?id=3150111658

 ※2)
 HTTP/2の利用確認
 対象ドメインにログインする必要があります。

 [HTTP用リスナの場合]
 otxadmin> get server.network-config.protocols.protocol.http-protocol.http.version
 ・上記の設定値が「HTTP/2.0」

 [HTTPS用リスナの場合]
 otxadmin> get server.http-service.virtual-server.server.network-listeners
 ・上記の設定値に「http-listener-2」が含まれている。

 otxadmin> get server.network-config.network-listeners.network-listener.http-listener-2.enabled
 ・http-listener-2が有効 (enabled=true)になっている。

 otxadmin> get server.network-config.network-listeners.network-listener.http-listener-2.protocol
 ・上記の設定値に「nio-http2-protocol」が設定されている。

[脆弱性の影響]

HTTP/2リクエストで使用されるリクエストおよびレスポンスの誤ったリサイクルにより、ユーザー間で リクエストとレスポンスの混同が発生する可能性があります。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

【CVE-2024-52316】

WAF(Web Application Firewall)等で許可していないIPアドレスを遮断することで回避可能です。

【CVE-2024-52317】

外部Webサーバを利用することで回避可能です。

関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

  • Japan Vulnerability Notes JVNVU#90271471

https://jvn.jp/vu/JVNVU90271471/

  • CVE-2024-52316

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-52316

  • CVE-2024-52317

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-52317


更新履歴

2024/12/09 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V10.1~V11.2
品名: WebOTX Application Server Standard V10.1~V11.2
品名: WebOTX Application Server Standard Extended Option V11.1~V11.2
品名: WebOTX Application Server Express V12.1 ※2024/12先行提供版(V12.10.00.00)
  • コンテンツID: 3010104875
  • 公開日: 2024年12月09日
  • 最終更新日:2024年12月09日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。