概要
OpenSSL連携機能は一般的な構成では使用されておらず、本機能を有効にしている環境は限定的です。OpenSSL連携機能を有効にしていない場合、本件による影響はなく、対処は不要です。
Visual Studio 2019でビルドされたWebOTX Webサーバ(Apache)のパッチ物件を適用した場合、TPモニタ、CORBA通信基盤 (Object Broker C++実行)、およびWebコンテナの各機能の動作に影響はありません。また、各機能においてOpenSSL連携を行っている場合にも、動作への影響はありません。
ただし、各機能のOpenSSL連携で参照されるOpenSSL物件は、パッチ物件に含まれる最新のOpenSSL物件ではなく、パッチ適用前の物件がそのまま使用されます。このため、OpenSSL連携機能を有効にしている場合は、脆弱性が修正されていない旧バージョンのOpenSSL物件を引き続き使用することとなり、セキュリティ上のリスクが残る可能性があります。該当する場合は、別途ご連絡ください。
本件の背景については、WebOTX Webサーバ(Apache) パッチに関する重要なお知らせをご参照ください。
影響のある製品
< Windows >
- WebOTX Application Server V12.2 まで全てのバージョン
※下記の製品にバンドルされている「WebOTX Application Server Express」をご利用の場合も、対象となります。
- WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、V11.1、V12.2
- WebOTX Portal V9.3、V10.1、V10.4、V11.1、V11.2
詳細
WebOTX Webサーバ(Apache) パッチの適用により物件が更新された場合、
TPモニタ、CORBA通信基盤 (Object Broker C++実行)、およびWebコンテナの
各機能の動作に影響はありません。
各機能においてOpenSSL連携を使用している場合にも、動作そのものへの
影響はありません。
ただし、各機能が参照するOpenSSL物件は、WebOTX Webサーバ(Apache)パッチ
に含まれるOpenSSL物件(最新版)ではなく、パッチ適用前から存在する
OpenSSL物件を引き続き参照します。
そのため、パッチ適用後もTPモニタ、CORBA通信基盤 (Object Broker C++実行)、
WebコンテナのOpenSSL連携で使用されるOpenSSL物件はパッチ適用前と
同一のものとなり、最新のOpenSSLで修正されている脆弱性への対応が
適用されない状態となります。
下記(a)、(b)、(c)いずれかの設定にてOpenSSL連携機能を有効にしている場合で、
パッチが必要な場合には、別途ご連絡ください。
なお、これらの設定を明示的に有効にしていない場合は、本件による影響はありません。
(a) TPモニタ(IIOPリスナのSSL連携):
tpsystem.IIOPListener.sslUse が true に設定されている場合、OpenSSL連携しています。
[確認方法]
運用管理ツール/Webコンソールの場合:
[WebOTX管理ドメイン[<ホスト名>]]
-[<ドメイン名>]
-[TPシステム]
-[IIOPリスナ]
[SSL]タブの「SSLを使用する」に
チェックなし(デフォルト)の場合 ⇒ OpenSSL連携していない
チェックありの場合 ⇒ OpenSSL連携している
運用管理コマンドの場合:
otxadmin get -u <ユーザ名> -w <パスワード> --port <ポート番号> tpsystem.IIOPListener.sslUse
で確認できる結果が
false(デフォルト)の場合 ⇒ OpenSSL連携していない
trueの場合 ⇒ OpenSSL連携している
(b) CORBAサービス(サーバプロセスのSSL連携):
C++プロパティ[<インプリメンテーション名>SSLPort]が定義されている場合、OpenSSL連携しています。
[確認方法]
運用管理ツール/Webコンソールの場合:
[WebOTX管理ドメイン[<ホスト名>]]
-[<ドメイン名>]
-[アプリケーションサーバ]
-[ORBコンフィグ]
右クリックメニューから[C++プロパティ設定一覧取得]操作を実行し、
SSLで使用するサーバポート番号を指定するプロパティ[<インプリメンテーション名>SSLPort]
が一覧に存在するか否かを確認してください。
プロパティなし ⇒ OpenSSL連携していない
プロパティあり ⇒ OpenSSL連携している
運用管理コマンドの場合:
otxadmin get-orb-cpp-properties -u <ユーザ名> -w <パスワード> --port <ポート番号>
を実行し、SSLで使用するサーバポート番号を指定するプロパティ[<インプリメンテーション名>SSLPort]
が一覧に存在するか否かを確認してください。
プロパティなし ⇒ OpenSSL連携していない
プロパティあり ⇒ OpenSSL連携している
(c) Webコンテナ(HTTP/2用リスナが有効):
V11.1以前のWebOTXを利用していて、かつ、 次の確認手順において、
「 (3) プロトコルの確認」まですべて合致する場合、OpenSSL連携しています。
[確認方法]
運用管理ツール/Webコンソールの場合:
(1) リスナの存在を確認
[WebOTX管理ドメイン[<ホスト名>]]
-[<ドメイン名>]
-[アプリケーションサーバ]
-[HTTPサービス]
-[仮想サーバ]
-[server]
[一般]タブの「リスナのリスト」に
"http-listener-*" が含まれている場合 ⇒(2)へ。
※デフォルト以外に追加したリスナがあれば、そのリスナも対象としてください。
(2)リスナの活性状態を確認
[WebOTX管理ドメイン[<ホスト名>]]
-[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[ネットワークリスナ構成]
-[network-listener]
-[HTTPリスナ{数字}]
次の両方が合致した場合 ⇒ (3)へ。
[属性]タブの「識別名」が(1)のリスナ名と一致
[属性]タブの「活性状態」にチェックあり
※(1)で含まれていたリスナの数分、確認します。
(3) プロトコルの確認
[WebOTX管理ドメイン[<ホスト名>]]
-[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[ネットワークリスナ構成]
-[network-listener]
-[HTTPリスナ{数字}]
[属性]タブの「プロトコル参照先」が
"apr-http2-protocol"となっている場合 ⇒OpenSSL連携している
※(2)で "識別名が一致"かつ"チェックあり" となっていたリスナの数分、確認します。
運用管理コマンドの場合:
(1) リスナの存在を確認
otxadmin get -u <ユーザ名> -w <パスワード> --port <ポート番号> server.http-service.virtual-server.server.network-listeners
で確認できる結果の中に
"http-listener-*" が含まれている場合 ⇒(2)へ。
※デフォルト以外に追加したリスナがあれば、そのリスナも対象としてください。
(2) リスナの活性状態を確認
otxadmin get -u <ユーザ名> -w <パスワード> --port <ポート番号> server.network-config.network-listeners.network-listener.<(1)で出力されたリスナ名>.enabled
で確認できる結果の中に
"true" ⇒(3)へ。
※(1)で出力されたリスナの数分、確認します。
(3) プロトコルの確認
otxadmin get -u <ユーザ名> -w <パスワード> --port <ポート番号> server.network-config.network-listeners.network-listener.<(2)で"true"と出力されたリスナ名>.protocol
で確認できる結果の中が
"apr-http2-protocol"となっている場合 ⇒OpenSSL連携している
※(2)で "true" と出力されたリスナの数分、確認します。
対処方法
上記のOpenSSL連携機能を有効にしていない場合は、対処は不要です。
OpenSSL連携を有効にしている場合に、パッチが必要であれば、ご連絡ください。
なお、「■詳細」に記載の「(c) Webコンテナ(HTTP/2用リスナが有効)」において
OpenSSL連携を有効としている構成で、WebOTX V11.2をご利用の場合、
パッチに含まれる物件を参照して動作させた場合に問題があることが判明しています。
本構成に該当する場合は別途ご相談ください。
回避方法
なし。
OpenSSL連携機能を有効にしている場合に、パッチが必要であれば、■対処方法に従いご連絡ください。
更新履歴