サイト内の現在位置

Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート

掲載番号:NV20-013
脆弱性情報識別番号:JVNVU#92184689

 

概要

Apache HTTP Web Server 2.4系には複数の脆弱性が存在します。
・Cache-Digest の値を細工された HTTP/2 リクエストを処理することで Push Diary がクラッシュする脆弱性 - CVE-2020-9490
・mod_proxy_uwsgi にバッファオーバーフローの脆弱性 - CVE-2020-11984
・mod_remoteip および mod_rewrite を用いる特定の設定を行って動作させている場合に、ログや PHP スクリプトで参照される IP アドレスが偽装可能な脆弱性 - CVE-2020-11985
・HTTP/2 モジュールで trace/debug が有効な場合、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性 - CVE-2020-11993

対象製品

RAPID機械学習

影響の有無

影響あり

対象となる製品のバージョン

  V2.2~V2.3SP1に同梱されるWebOTX
 ※オンプレミス環境にて、RAPID製品が提供するWebアプリケーションのみ用いる場合は影響を受けません。

対処方法

 HTTP/2リクエスト、mod_proxy_uwsgi、mod_remoteip、mod_rewriteといった脆弱性に該当する機能を利用しないでください。
 もしこれらの機能の利用が避けられない場合は、WebOTXが同梱する古いApacheは利用せず、お問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

 ・CVE-2020-9490、CVE-2020-11993
  WebOTX Application Server Express、Standard V9.4~V10.3
  WebOTX Application Server Enterprise V9.4~V9.6
  ※WebOTX Enterprise Service Bus V10.1、V10.3、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
  ※V9.4はApache HTTP Server 2.4.20以降2.4.43までのいずれかのパッチモジュールを適用している場合に該当します。

 ・CVE-2020-11984
  WebOTX Application Server Express、Standard V9.3~V10.3
  WebOTX Application Server Enterprise V9.3~V9.6
  ※WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
  ※V9.3~V9.5および、V10.1、V10.2はApache HTTP Server 2.4.32以降2.4.43までのいずれかのパッチモジュールを適用している場合に該当します。

 ・CVE-2020-11985
  WebOTX Application Server Express、Standard、Enterprise V9.3、V9.4
  ※WebOTX Enterprise Service Bus V9.3、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

 急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
 また、以下のページにて回避策を公開しています。
 https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010103175

参考情報

更新情報

2020/11/10
RAPID機械学習, WebOTX を登録しました。