Hitachi Web Serverにおける複数の脆弱性

2014.05.14 更新

Hitachi Web Serverに複数の脆弱性(CVE-2005-2969, CVE-2005-3352, CVE-2006-3918)が存在します。

脆弱性ID

HS06-022

脆弱性の内容

Hitachi Web Serverに下記の脆弱性が存在します。

問題1 SSLにおけるバージョン・ロールバックの脆弱性(CVE-2005-2969)

SSLを使用している場合，クライアントがSSLバージョン3，またはTLSバージョン1でWebサーバに接続しようとした際に，攻撃者によって不当にSSLバージョン2の接続に変更される可能性があります。なお，SSLバージョン2の暗号化通信には影響ありません。

問題2 イメージマップにおけるクロスサイトスクリプティングの脆弱性(CVE-2005-3352)

Hitachi Web Serverが自動作成したコンテンツに，他のWebサイトで作成された不正なスクリプトが追加され，それがクライアント上で実行されることがあります。

問題3 Expectヘッダにおけるクロスサイトスクリプティングの脆弱性(CVE-2006-3918)

不正なスクリプトが含まれたExpectヘッダを受信した場合，Hitachi Web Serverが自動作成するエラーコンテンツにその不正なスクリプトが追加され，それがクライアント上で実行されることがあります。

影響を受けるバージョンを下記に示しますので，対策版の適用または，下記[暫定回避策]による回避をお願いいたします。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム

脆弱性が含まれるバージョン

対象製品名 : Hitachi Web Server

対象バージョン :

Windows

02-00 - 02-04-/B, 03-00(*3)

Windows(IPF)

02-03 - 02-04-/A(*2)(*3)

HP-UX

01-00 - 01-02-/D(*1), 02-00 - 02-04-/A

HP-UX(IPF)

02-02 - 02-04-/A, 03-00(*3)

Solaris

01-00 - 01-02-/D(*1), 02-00 - 02-04-/A, 03-00(*3)

Linux

01-01 - 01-01-/D(*1), 02-00 - 02-00-/A(*1), 02-02 - 02-06, 03-00(*3)

Linux(IPF)

02-02 - 02-04-/A(*3)

AIX

01-02 - 01-02-/E(*1), 02-00 - 02-04-/A, 03-00

TurboLinux Server 6 for MP Series

01-01(*2)

TurboLinux 7 Server for AP8000

02-00(*2)

対象製品名 : Hitachi Web Server - Security Enhancement

対象バージョン :

HP-UX(IPF)

02-04 - 02-04-/A

対象製品名 : Hitachi Web Server - Custom Edition

対象バージョン :

Linux

02-06(*2)(*3)

対象製品名 : Hitachi Web Server for VOS3

対象バージョン :

VOS3

01-00 - 01-03(*2)(*4)

*1

本バージョンをお使いの方は，後継製品へのバージョンアップをお願いいたします。

*2

本バージョンをお使いの方は，サポートサービス窓口へご相談願います。

*3

問題2, 問題3が該当します。

*4

問題1が該当します。

また本問題は，Hitachi Web Serverがバンドルされる下記のCosminexus製品にも該当します。Cosminexus製品に含まれるHitachi Web Serverのバージョン，及びCosminexus製品の対策バージョンについては，サポートサービス窓口へご相談願います。

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Windows

07-00 - 07-00-01

HP-UX(IPF)

07-00

Solaris

07-00 - 07-00-01

Linux

07-00 - 07-00-01

AIX

07-00

対象製品名 : uCosminexus Application Server Smart Edition

対象バージョン :

Windows

07-00 - 07-00-01

Linux

07-00 - 07-00-01

対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Standard

対象バージョン :

Windows

07-00 - 07-00-01

対象製品名 : uCosminexus Service Platform

対象バージョン :

Windows

07-00 - 07-00-01

Linux

07-00

対象製品名 : uCosminexus Service Architect

対象バージョン :

Windows

07-00 - 07-00-01

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Windows

06-70 - 06-70-/B, 06-71 - 06-71-/A

Windows(IPF)

06-70 - 06-70-/A(*3)

HP-UX

06-70 - 06-70-/A

HP-UX(IPF)

06-70 - 06-70-/F

Solaris

06-70 - 06-70-/B

Linux

06-70 - 06-70-/B, 06-71 - 06-71-/A

Linux(IPF)

06-70 - 06-70-/A(*3)

AIX

06-70 - 06-70-/C

対象製品名 : uCosminexus Application Server Enterprise

対象バージョン :

Windows

06-70 - 06-70-/B, 06-71 - 06-71-/A

Windows(IPF)

06-70 - 06-70-/A(*3)

HP-UX

06-70 - 06-70-/A

HP-UX(IPF)

06-70 - 06-70-/F

Solaris

06-70 - 06-70-/B

Linux

06-70 - 06-70-/B, 06-71 - 06-71-/A

Linux(IPF)

06-70 - 06-70-/A(*3)

AIX

06-70 - 06-70-/C

対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Light

対象バージョン :

Windows

06-70 - 06-70-/B, 06-71 - 06-71-/A

■Cosminexus V6

対象製品名 : Cosminexus Application Server Enterprise Version 6
対象製品名 : Cosminexus Application Server Standard Version 6

対象バージョン :

Windows

06-00 - 06-50-/E, 06-51 - 06-51-/G

Windows(IPF)

06-00 - 06-51

HP-UX

06-00 - 06-50-/D

HP-UX(IPF)

06-00 - 06-50-/C

Solaris

06-00 - 06-50-/C

Linux

06-00 - 06-51-/E

Linux(IPF)

06-00 - 06-51-/B

AIX

06-00 - 06-50-/E

対象製品名 : Cosminexus Developer Professional Version 6
対象製品名 : Cosminexus Developer Standard Version 6
対象製品名 : Cosminexus Developer Light Version 6

対象バージョン :

Windows

06-00 - 06-50-/E, 06-51 - 06-51-/G

■Cosminexus V5以前

対象製品名 : Cosminexus Application Server Version 5

対象バージョン :

Windows

05-01 - 05-05-/P

HP-UX

05-00 - 05-05-/I

Linux

05-00 - 05-05-/I

AIX

05-00 - 05-05-/N

対象製品名 : Cosminexus Developer Version 5

対象バージョン :

Windows

05-01 - 05-05-/P

対象製品名 : Cosminexus Server - Standard Edition Version 4

対象バージョン :

HP-UX

04-01

Solaris

04-01

AIX

04-01

対象製品名 : Cosminexus Server - Web Edition Version 4

対象バージョン :

HP-UX

04-01

Solaris

04-01

対象製品名 : Cosminexus Server - Enterprise Edition
対象製品名 : Cosminexus Server - Standard Edition
対象製品名 : Cosminexus Server - Web Edition

対象バージョン :

HP-UX

03-00 - 03-05

Solaris

03-00 - 03-05

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム

脆弱性の対策バージョン 対策版提供日

対象製品名 : Hitachi Web Server

対策バージョン :

Windows

03-00-01 2006.12.15

02-04-/C 2006.12.15

02-01-/B 2011.08.17

HP-UX

02-04-/B 2006.12.15

HP-UX(IPF)

03-00-01 2007.11.13

02-04-/B 2006.12.15

Solaris

03-00-01 2007.11.21

02-04-/B 2006.12.15

Linux

03-00-01 2007.07.09

02-06-/A 2006.12.15

Linux(IPF)

02-04-/B 2006.12.15

AIX

03-00-01 2007.11.14

02-04-/B 2006.12.15

対象製品名 : Hitachi Web Server - Security Enhancement

対策バージョン :

HP-UX(IPF)

02-04-/B 2006.12.15

暫定回避策

この脆弱性に対して下記の暫定回避策があります。対策版を適用するまでの間，以下のいずれかの暫定回避策を実施していただくようお願いいたします。

問題1に対する暫定回避策

UNIX版の02-00以降，およびWindows版の02-01以降に対しては，SSLProtocolディレクティブで，SSLv2を拒否する指定を行なうことで回避できます。
以下に設定例を示します。

• SSLv3だけを許可する場合 : SSLProtocol SSLv3
• TLSv1だけを許可する場合 : SSLProtocol TLSv1
• SSLv3とTLSv1を許可する場合 : SSLProtocol SSLv3 TLSv1

問題2に対する暫定回避策

ImapMenuディレクティブに "none" を指定してください。noneを指定できない場合は，ImapDefaultディレクティブまたはイメージマップファイル内で "referer" 以外を指定してください。

問題3に対する暫定回避策

ステータスコード417に対し，ErrorDocumentディレクティブをテキスト指定で指定することで回避できます。
以下に設定例を示します。

• Hitachi Web Server 02-00系の場合 : ErrorDocument 417 "文字列
• Hitachi Web Server 03-00系の場合 : ErrorDocument 417 "文字列"

(注意)
エラーステータス417のメッセージのカスタマイズでは，ローカルURLおよびフルURLは使用できません。テキストでカスタマイズしてください。

更新履歴

2014.05.14

CVE番号に関する情報を追加しました。

2014.04.15

[脆弱性の内容]の誤記を修正しました。

2011.10.19

[対象製品], [対策版の提供]を更新しました。

2008.12.15

[対象製品], [対策版の提供], [暫定回避策]を更新しました。

2006.12.21

このセキュリティ情報ページを新規作成および発信しました。