Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

ハッシュ関数を使用しているウェブアプリケーションにサービス運用妨害(DoS)の脆弱性

掲載番号:NV12-003
脆弱性情報識別番号:VU#903934

概要

複数のウェブアプリケーションフレームワークで使用されているハッシュ関数の実装には、 ハッシュテーブルへのデータ追加処理に問題があり、サービス運用妨害(DoS)の脆弱性が存在します。

対象製品

CSVIEW

影響の有無

あり

対象となる製品のバージョン

CSVIEW/FAQナビ V4、V5

対処方法

V5.2.0以前のバージョン:
CSVIEW/FAQナビV5.3のCD-ROM媒体を入手し、 CD-ROM媒体に添付されているインストールマニュアル(faq_v5.3_install_manual_for_windows.pdf)に従い、V5.3にバージョンアップを行った後に、 Apache,mod_jk,Tomcatのバージョンアップを行います。
下記の(1)→(2)→(3)→(4)→(5)の順番で実施してください。

V5.2.0~V5.2.4のバージョン:
Apache,mod_jk,Tomcatだけのバージョンアップでの対応が可能です。
下記の(2)→(3)→(5)の順番で実施してください。
なお、V5.3へのバージョンアップを同時に行う場合は、V5.2.0以前のバージョンと同様に下記の(1)→(2)→(3)→(4)→(5)の順番で実施してください。

以下、実施手順です。
インストールドライブは C:\ であることを前提に説明します。
実際の環境と異なる場合は、各インストールドライブに読み替えてください。

(1) CSVIEW/FAQナビ V5.3インストール媒体入手
保守契約に基づき、 PPサポートへの媒体入手申請よりCSVIEW/FAQナビV5.3のCD-ROM媒体を入手してください。

(2) Apache,mod_jk,Tomcatのインストール媒体入手
脆弱性に対応している動作確認済みのTomcatのバージョンとして、 Tomcat6.0.35と、動作確認済みのApache2.2.22と、mod_jk1.2.33をダウンロードにより入手します。

(2-1) Apache2.2.22のダウンロード
下記URLにアクセスし、 Apache HTTP Server 2.2.22 (httpd)の「httpd-2.2.22-win32-x86-openssl-0.9.8t.msi」をダウンロードします。
http://httpd.apache.org/download.cgi#apache22/

(2-2) mod_jk1.2.33のダウンロード
(2-3) Tomcat6.0.35のダウンロード
下記URLにアクセスし、Tomcat6.0.35をダウンロードします。
http://archive.apache.org/dist/tomcat/tomcat-6/v6.0.35/bin/apache-tomcat-6.0.35.exe

(3) Tomcatバージョンアップにおける事前準備
(3-1) ログファイルの移動
Tomcatのアンインストール時に、 インストール後に作成されたログファイル等を削除するかどうか問われたときにNoを選択しますが、 誤ってYesを選択した場合には全てクリアされます。
誤って削除してしまった場合にも問題無いように必要に応じて、 C:\Tomcat 6.0\logs のフォルダを別フォルダに移動しておきます。

(3-2) コンフィグファイルの保存
下記の2つのコンフィグファイルをバージョンアップ後に上書きするため、 別フォルダに保存します。
C:\Tomcat 6.0\conf\workers.properties
C:\Tomcat 6.0\conf\server.xml

(3-3) 既存の設定値の記録
[1] 画面右下のTomcatモニターポインタから、 Apache Tomcat Properties アイコンを開きます。
[2] Java タブの Initial memory pool と Maximum memory pool の値を控えておきます。
[3]「OK」ボタンをクリックしてアイコンを閉じます。

(4) アップグレードインストール
インストールマニュアルの『14 FAQナビのアップグレードインストール』の手順に従い、 各バージョンからV5.3へのアップグレードインストールを行います。

(5) モジュールのバージョンアップ
(5-1) サービス停止
インストールマニュアルの「11プログラムの停止方法」を参照し、 Tomcat,Apache,QuickSolutionを停止します。

(5-2) Apache のアップデート
■Apache のアンインストール
[コントロールパネル] - [プログラムの追加と削除] から、 Apache HTTP Serverをアンインストールします。
※設定ファイルとログファイルは残ったままとなります。

■Apache2.2.22 のインストール
[1] httpd-2.2.22-win32-x86-openssl-0.9.8t.msi を実行して Apache2.2.22 をインストールします。
[2] インストールマニュアルの「5 Apacheのインストール」を参照して、 手順(1)~手順(11)までを行います。

■不要なサービスの削除
[1] Apache2.2.22 のインストール後、 画面右下のApacheモニターポインタからMonitor Apache Servers アイコンを開きます。
[2] 「Apache2.2」の行をクリックし、「Stop」ボタンをクリックします。
[3]「OK」ボタンをクリックしてアイコンを閉じ、 [アクセサリ] - [コマンドプロンプト] からコマンドプロンプトを開きます。
[4] 下記コマンドを実行し、「Apache2.2」 のサービスを削除します。
C:\Apache2.2\bin\httpd.exe -k uninstall -n apache2.2

(5-3) mod_jk のアップデート
■展開と配置
入手したtomcat-connectors-1.2.33-windows-i386-httpd-2.2.x.zip を展開します。
展開したディレクトリの mod_jk.so のファイル名を "mod_jk-1.2.33-httpd-2.2.22.so" に変更し、 C:\Apache2.2\modules にコピーします。

■コンフィグファイルの更新
下記4つのファイルをテキストエディタで開き、以下のように書き換えます。
C:\Apache2.2\conf\conf_front\mod_jk.conf C:\Apache2.2\conf\conf_ssl_front\mod_jk.conf C:\Apache2.2\conf\conf_manage\mod_jk.conf C:\Apache2.2\conf\conf_ssl_manage\mod_jk.conf

修正前:LoadModule jk_module modules/mod_jk-1.2.26-httpd-2.2.4.so
修正後:LoadModule jk_module modules/mod_jk-1.2.33-httpd-2.2.22.so

(5-4) Tomcat のアップデート
■Tomcat6.0.16 のアンインストール
[1] [コントロールパネル] - [プログラムの追加と削除] から Apache Tomcat 6.0 をアンインストールします。
[2]「Remove all files in your Tomcat 6.0 directory? (If you have anything you created that you want to keep, clickNo)」のダイアログが表示されるので、 「いいえ」を選択します。

■Tomcat6.0.35 のインストール
[1] 取得したapache-tomcat-6.0.35.exe を実行して Tomcat6.0.35 をインストールします。
[2] インストールマニュアルの「4 Tomcatのインストール」を参照し、手順(1)~手順(12)までを行います。
※マニュアルのイメージと異なる画面がありますが、 設定する項目はマニュアルのものと同じになります

■Tomcat6.0.35 の設定
[1] 画面右下のTomcatモニターポインタから、 Apache Tomcat Properties アイコンを開きます。
[2] General タブの「Stop」ボタンをクリックします。
[3]「(3-2) コンフィグファイルの保存」で保存した2つのファイルをC:\Tomcat 6.0\conf にコピーします。
[4] タスクトレイの Monitor Tomcat アイコンを開いた後、Java タブで以下の操作を 行います。
・Java Options: の末尾に「-Dorg.apache.jasper.compiler.Parser.STRICT_QUOTE_ESCAPING=false」を追加します
・Initial memory pool: と Maximum memory pool: に 「(3-3) 設定値の記録」で控えていた値を記入します

■キャッシュファイルの削除
[1] C:\Tomcat 6.0\conf に Catalina ディレクトリが存在するか確認します。
[2] Catalina のディレクトリがある場合、Catalina のディレクトリを削除します。

(5-5) サービスの開始
インストールマニュアルの「10プログラムの起動方法」を参照してTomcat,Apache,QuickSolutionを開始します。

InfoCage 持ち出し制御

影響の有無

あり

InfoCage 持ち出し制御は、管理/ログサーバとクライアント間の通信に.Net Framework1.1を利用しています。
本脆弱性によりクライアントからのログ送付などに影響を受ける可能性があります。

対象となる製品のバージョン

全バージョン

対処方法

[対策]
以下のMicrosoft社情報を参照の上、更新プログラムの適用をお願い致します。

マイクロソフト セキュリティ情報 MS11-100 - 緊急
.NET Framework の脆弱性により、特権が昇格される (2638420)
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-100.mspx

InfoCage PCセキュリティ

影響の有無

あり

もし、本脆弱性を利用したサービス運用妨害攻撃(DoS)を受けた場合は、 InfoCage PCセキュリティの簡易ログサーバにて、ログの受信/格納動作に遅延が生じる可能性があります。

対象となる製品のバージョン

InfoCage PCセキュリティ V1.44以前
Apache Tomcat 6.0

対処方法

[対策]
2012年度第二期中(7-9月)にリリースを予定している製品で対処予定です。

InfoFrame DocumentSkipper

影響の有無

あり

対象となる製品のバージョン

V3.2、V4.1、V5.1
Apache Tomcat6.0系を同梱しています。

対処方法

Apache Tomcat6.0系を対応済みの版にバージョンアップする必要があります。
バージョンアップの詳細につきましては弊社営業にお問合せください。

WebOTX

影響の有無

あり

対象となる製品のバージョン

WebOTX Webコンテナが入っているすべての製品

 
製品名 バージョン
WebOTX Web Edition V4.1~V6.5
WebOTX Standard-J Edition V4.1~V6.5
WebOTX Standard Edition V4.1~V6.5
WebOTX Enterprise Edition V4.1~V6.5
WebOTX UDDI Registry V1.1~V7.1
WebOTX 開発環境 V6.1~V6.5
WebOTX Developer V7.1~V8.1
WebOTX Application Server Web Edition V7.1~V8.1
WebOTX Application Server Standard-J Edition V7.1~V8.1
WebOTX Application Server Standard Edition V7.1~V8.1
WebOTX Application Server Enterprise Edition V7.1~V8.1
WebOTX Application Server Express V8.2~V8.4
WebOTX Application Server Foundation V8.2~V8.4
WebOTX Application Server Standard V8.2~V8.4
WebOTX Application Server Enterprise V8.2~V8.4
WebOTX Enterprise Service Bus V6.4~V8.4
WebOTX SIP Application Server Standard Edition V7.1~V8.1
WebOTX Portal V8.2~V8.3

対処方法

[回避策]
外部Webサーバをご利用の場合は、外部Webサーバのパラメータで POSTサイズの最大値を設定することにより被害を軽減できます。

内蔵Webサーバをご利用の場合は、WebOTX Webコンテナのパラメータで POSTサイズの最大値を設定することにより被害を軽減できます。

POSTサイズの最大値を設定する場合は、ユーザアプリケーションとして 考えられるPOSTサイズの最大値を設定してください。

(※) POSTサイズの最大値変更にともなう注意事項
例えば、大きなファイルをアップロードする事が想定されるシステムでは、 POSTサイズの最大値を設定すると必要なファイルがアップロードできなくなる可能性があります。

(※) WebOTX Webコンテナの注意事項
WebOTX WebコンテナでPOSTサイズの最大値を設定できるのはV6.31以上となります。 それより前のバージョンでは、Webサーバでの回避をお願いします。

具体的な設定方法は以下のURLを参照してください。
WebOTX Webコンテナ のハッシュに関する脆弱性(CVE-2011-4858)について
https://www.support.nec.co.jp/View.aspx?id=3010100358

[対策]
パッチを適用して下さい。
保守契約者様用ページでパッチモジュールを公開しています。
詳細につきましては弊社営業にお問合せください。

WebSAM SECUREMASTER

影響の有無

あり

対象となる製品のバージョン

- SECUREMASTER/EnterpriseAccessManager Ver5.0~Ver6.1
- SECUREMASTER/EnterpriseIdentityManager Ver4.1までの全バージョン

対処方法

[対策]
Apache Tomcat 6.0.35以上を適用してください。

WebSAM Storage VMware vCenter Plug-in

影響の有無

あり

対象となる製品のバージョン

Ver1.1

対処方法

[対策]
以下のWebページに掲載されている「Apache Tomcatアップデート手順書」を参照し、Apache Tomcatをアップデートしてください。

【iStorage Mシリーズ】WebSAM Storage VMware vCenter Plug-inが使用しているApache Tomcat脆弱性問題の対処について
http://www.support.nec.co.jp/View.aspx?id=3140100906

参考情報

InfoCage PCセキュリティ - 重要なお知らせ
Japan Vulnerability Notes JVNVU#903934:
ハッシュ関数を使用しているウェブアプリケーションにサービス運用妨害 (DoS) の脆弱性
US-CERT VU#864643:
Hash table implementations vulnerable to algorithmic complexity attacks
CVE CVE-2012-0022:
CVE CVE-2011-4858:

更新情報

2013/01/30
WebSAM Storage VMware vCenter Plug-inを追加しました。
2012/09/26
InfoFrame DocumentSkipperを追加しました。
2012/05/30
CSVIEWを追加しました。
2012/04/16
InfoCage 持ち出し制御を追加しました。
InfoCage PCセキュリティを追加しました。
WebSAM SECUREMASTERを更新しました。
2012/03/27
WebSAM SECUREMASTERを追加しました。
WebOTXを更新しました。
2012/02/09
WebOTXを登録しました。