ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] OpenSSL における複数の脆弱性(JVNVU#93161789)への影響と対策について

概要

OpenSSLには、次の脆弱性が報告されています。

  • RFC 3211 KEK Unwrapにおける境界外の読み取りと書き込み
    CVE-2025-9230 (Severity: Moderate)
  • 64bit ARMプラットフォーム環境において、SM2アルゴリズムのタイミング攻撃が可能となる問題
    CVE-2025-9231 (Severity: Moderate)
  • HTTPクライアントのno_proxy処理における境界外読み取り
    CVE-2025-9232 (Severity: Low)

WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールでOpenSSLのライブラリをリンクしています。調査の結果、SSL(HTTPS)通信を利用する設定の場合、WebOTX Webサーバは上記脆弱性のうち、CVE-2025-9230およびCVE-2025-9232の影響を受けることが判明しています。
なお、Apache HTTP Server 2.4より前のバージョンについては、サポートが終了していますので、WebOTXとしてもパッチの提供予定はありません。

影響のある製品

■CVE-2025-9230
  • WebOTX Application Server Express V9.3~V12.1
  • WebOTX Application Server Standard V9.3~V12.1
  • WebOTX Application Server Enterprise V9.3~V9.6
  • WebOTX Application Server Standard Extended Option V11.1、V11.2

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、V11.1、WebOTX Portal V9.3、V10.1、V10.4、V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V9.3はOpenSSLバージョン1.0.2系、1.1.1系、または3.0.18より前のWebサーバパッチモジュールを適用している場合に該当します。

■CVE-2025-9232
  • WebOTX Application Server Express V9.3~V12.1
  • WebOTX Application Server Standard V9.3~V12.1
  • WebOTX Application Server Enterprise V9.3~V9.6
  • WebOTX Application Server Standard Extended Option V11.1、V11.2

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、V11.1、WebOTX Portal V9.3、V10.1、V10.4、V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V9.3~V11.1はOpenSSLバージョン3.0.18より前のWebサーバパッチモジュールを適用している場合に該当します。

詳細

■CVE-2025-9230
● 脆弱性の影響
パスワードベースの暗号を使用して暗号化されたCMSメッセージを復号する際に、本来アクセスしてはいけない領域のデータの読み取りおよび書き込みが発生することで、サービス拒否(DoS)や情報漏洩の可能性があります。

● 脆弱性に該当する条件
SSL(HTTPS)通信を行う場合に影響を受ける可能性があります。
WebOTX Webサーバの既定の設定では、SSL(HTTPS)通信は無効となっており、利用しません。


■CVE-2025-9232
● 脆弱性の影響
OpenSSL HTTPクライアントAPI関数を使用するアプリケーションにおいて、no_proxy環境変数が設定されている場合、HTTP URLのホスト部分にIPv6アドレスを指定すると、本来アクセスしてはいけない領域のデータの読み取りが発生することでサービス拒否(DoS)の可能性があります。

● 脆弱性に該当する条件
SSL(HTTPS)通信を行う場合に影響を受ける可能性があります。
WebOTX Webサーバの既定の設定では、SSL(HTTPS)通信は無効となっており、利用しません。

対処方法

次の脆弱性に対応したパッチを適用してください。
その他のバージョンについてはパッチの公開時期を現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
[WebOTX]Apache HTTP Server 2.4.65:OpenSSL 3.0.18 のパッチモジュール(V10.1~V12.1向け)(Windows(x64)版)

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。 まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

回避方法

回避方法はありません。

関連情報

本脆弱性問題の詳細は、次のURLを参照してください。

更新履歴

2025/11/27 初版

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.3~V12.1
品名: WebOTX Application Server Standard V9.3~V12.1
品名: WebOTX Application Server Enterprise V9.3~V9.6
  • コンテンツID: 3010105209
  • 公開日: 2025年12月01日
  • 最終更新日:2025年12月01日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。