Japan
サイト内の現在位置を表示しています。
ハッシュ関数を使用しているウェブアプリケーションにサービス運用妨害(DoS)の脆弱性
掲載番号:NV12-003
脆弱性情報識別番号:VU#903934
概要
複数のウェブアプリケーションフレームワークで使用されているハッシュ関数の実装には、 ハッシュテーブルへのデータ追加処理に問題があり、サービス運用妨害(DoS)の脆弱性が存在します。
対象製品
CSVIEW
影響の有無
あり
対象となる製品のバージョン
CSVIEW/FAQナビ V4、V5
対処方法
下記の(1)→(2)→(3)→(4)→(5)の順番で実施してください。
下記の(2)→(3)→(5)の順番で実施してください。
なお、V5.3へのバージョンアップを同時に行う場合は、V5.2.0以前のバージョンと同様に下記の(1)→(2)→(3)→(4)→(5)の順番で実施してください。
インストールドライブは C:\ であることを前提に説明します。
実際の環境と異なる場合は、各インストールドライブに読み替えてください。
https://httpd.apache.org/download.cgi#apache22/
https://archive.apache.org/dist/tomcat/tomcat-connectors/jk/binaries/windows/tomcat-connectors-1.2.33-windows-i386-httpd-2.2.x.zip
https://archive.apache.org/dist/tomcat/tomcat-6/v6.0.35/bin/apache-tomcat-6.0.35.exe
誤って削除してしまった場合にも問題無いように必要に応じて、 C:\Tomcat 6.0\logs のフォルダを別フォルダに移動しておきます。
C:\Tomcat 6.0\conf\workers.properties
C:\Tomcat 6.0\conf\server.xml
[2] Java タブの Initial memory pool と Maximum memory pool の値を控えておきます。
[3]「OK」ボタンをクリックしてアイコンを閉じます。
[コントロールパネル] - [プログラムの追加と削除] から、 Apache HTTP Serverをアンインストールします。
※設定ファイルとログファイルは残ったままとなります。
[1] httpd-2.2.22-win32-x86-openssl-0.9.8t.msi を実行して Apache2.2.22 をインストールします。
[2] インストールマニュアルの「5 Apacheのインストール」を参照して、 手順(1)~手順(11)までを行います。
[1] Apache2.2.22 のインストール後、 画面右下のApacheモニターポインタからMonitor Apache Servers アイコンを開きます。
[2] 「Apache2.2」の行をクリックし、「Stop」ボタンをクリックします。
[3]「OK」ボタンをクリックしてアイコンを閉じ、 [アクセサリ] - [コマンドプロンプト] からコマンドプロンプトを開きます。
[4] 下記コマンドを実行し、「Apache2.2」 のサービスを削除します。
C:\Apache2.2\bin\httpd.exe -k uninstall -n apache2.2
入手したtomcat-connectors-1.2.33-windows-i386-httpd-2.2.x.zip を展開します。
展開したディレクトリの mod_jk.so のファイル名を "mod_jk-1.2.33-httpd-2.2.22.so" に変更し、 C:\Apache2.2\modules にコピーします。
下記4つのファイルをテキストエディタで開き、以下のように書き換えます。
C:\Apache2.2\conf\conf_front\mod_jk.conf C:\Apache2.2\conf\conf_ssl_front\mod_jk.conf C:\Apache2.2\conf\conf_manage\mod_jk.conf C:\Apache2.2\conf\conf_ssl_manage\mod_jk.conf
修正後:LoadModule jk_module modules/mod_jk-1.2.33-httpd-2.2.22.so
[1] [コントロールパネル] - [プログラムの追加と削除] から Apache Tomcat 6.0 をアンインストールします。
[2]「Remove all files in your Tomcat 6.0 directory? (If you have anything you created that you want to keep, clickNo)」のダイアログが表示されるので、 「いいえ」を選択します。
[1] 取得したapache-tomcat-6.0.35.exe を実行して Tomcat6.0.35 をインストールします。
[2] インストールマニュアルの「4 Tomcatのインストール」を参照し、手順(1)~手順(12)までを行います。
※マニュアルのイメージと異なる画面がありますが、 設定する項目はマニュアルのものと同じになります
[1] 画面右下のTomcatモニターポインタから、 Apache Tomcat Properties アイコンを開きます。
[2] General タブの「Stop」ボタンをクリックします。
[3]「(3-2) コンフィグファイルの保存」で保存した2つのファイルをC:\Tomcat 6.0\conf にコピーします。
[4] タスクトレイの Monitor Tomcat アイコンを開いた後、Java タブで以下の操作を 行います。
・Java Options: の末尾に「-Dorg.apache.jasper.compiler.Parser.STRICT_QUOTE_ESCAPING=false」を追加します
・Initial memory pool: と Maximum memory pool: に 「(3-3) 設定値の記録」で控えていた値を記入します
[1] C:\Tomcat 6.0\conf に Catalina ディレクトリが存在するか確認します。
[2] Catalina のディレクトリがある場合、Catalina のディレクトリを削除します。
InfoCage 持ち出し制御
影響の有無
本脆弱性によりクライアントからのログ送付などに影響を受ける可能性があります。
対象となる製品のバージョン
対処方法
.NET Framework の脆弱性により、特権が昇格される (2638420)
https://technet.microsoft.com/ja-jp/security/bulletin/ms11-100.mspx
InfoCage PCセキュリティ
影響の有無
もし、本脆弱性を利用したサービス運用妨害攻撃(DoS)を受けた場合は、 InfoCage PCセキュリティの簡易ログサーバにて、ログの受信/格納動作に遅延が生じる可能性があります。
対象となる製品のバージョン
Apache Tomcat 6.0
対処方法
InfoFrame DocumentSkipper
影響の有無
対象となる製品のバージョン
Apache Tomcat6.0系を同梱しています。
対処方法
バージョンアップの詳細につきましては弊社営業にお問合せください。
WebOTX
影響の有無
対象となる製品のバージョン
製品名 | バージョン |
WebOTX Web Edition | V4.1~V6.5 |
WebOTX Standard-J Edition | V4.1~V6.5 |
WebOTX Standard Edition | V4.1~V6.5 |
WebOTX Enterprise Edition | V4.1~V6.5 |
WebOTX UDDI Registry | V1.1~V7.1 |
WebOTX 開発環境 | V6.1~V6.5 |
WebOTX Developer | V7.1~V8.1 |
WebOTX Application Server Web Edition | V7.1~V8.1 |
WebOTX Application Server Standard-J Edition | V7.1~V8.1 |
WebOTX Application Server Standard Edition | V7.1~V8.1 |
WebOTX Application Server Enterprise Edition | V7.1~V8.1 |
WebOTX Application Server Express | V8.2~V8.4 |
WebOTX Application Server Foundation | V8.2~V8.4 |
WebOTX Application Server Standard | V8.2~V8.4 |
WebOTX Application Server Enterprise | V8.2~V8.4 |
WebOTX Enterprise Service Bus | V6.4~V8.4 |
WebOTX SIP Application Server Standard Edition | V7.1~V8.1 |
WebOTX Portal | V8.2~V8.3 |
対処方法
内蔵Webサーバをご利用の場合は、WebOTX Webコンテナのパラメータで POSTサイズの最大値を設定することにより被害を軽減できます。
POSTサイズの最大値を設定する場合は、ユーザアプリケーションとして 考えられるPOSTサイズの最大値を設定してください。
https://www.support.nec.co.jp/View.aspx?id=3010100358
保守契約者様用ページでパッチモジュールを公開しています。
詳細につきましては弊社営業にお問合せください。
WebSAM SECUREMASTER
影響の有無
対象となる製品のバージョン
対処方法
WebSAM Storage VMware vCenter Plug-in
影響の有無
対象となる製品のバージョン
対処方法
https://www.support.nec.co.jp/View.aspx?id=3140100906
参考情報
ハッシュ関数を使用しているウェブアプリケーションにサービス運用妨害 (DoS) の脆弱性
Hash table implementations vulnerable to algorithmic complexity attacks
更新情報
- 2013/01/30
- 2012/09/26
- 2012/05/30
- 2012/04/16
- 2012/03/27
- 2012/02/09