Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題

掲載番号:NV16-019
脆弱性情報識別番号:JVNVU#97485903

概要

Apache HTTPD の HTTP/2 通信には、X.509 クライアント証明書の認証処理に問題が存在します。
HTTP/2 経由でリソースへのアクセスを提供する際に、クライアント証明書の検証結果を考慮しておらず、認証を必要とするコンテンツに認証無しでアクセスされる可能性があります。

対象製品

WebOTX

影響の有無

影響あり

WebOTX Application Server V9.4では、Webサーバとして Apache HTTP Server 2.4.x をバンドルしており、Apache HTTP Server 2.4.x が本脆弱性の影響を受けます。

対象となる製品のバージョン

  • WebOTX Application Server Express V9.4
  • WebOTX Application Server Standard V9.4
  • WebOTX Application Server Enterprise V9.4

対処方法

[対策]
以下のURLでパッチを公開しています。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104737

パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結をお願いいたします。

更新情報

Japan Vulnerability Notes JVNVU#97485903:
Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題
https://jvn.jp/vu/JVNVU97485903/

CVE-2016-4979:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-4979

参考情報

2016/10/31
WebOTXを登録しました。