Hitachi Web ServerのリバースプロキシにおけるDoS脆弱性

2014.05.14 更新

Hitachi Web Serverをリバースプロキシとして使用している場合に，バックエンドのWebサーバから不正なレスポンスを受信し続けることによって，リバースプロキシのメモリ使用量が増大する事があります。（リバースプロキシにおけるDoS脆弱性(CVE-2008-2364)が存在します。）

脆弱性ID

HS09-009

脆弱性の内容

Hitachi Web Serverをリバースプロキシとして使用している場合に，バックエンドのWebサーバから不正なレスポンスを受信し続けることによって，リバースプロキシのメモリ使用量が増大し，メモリ枯渇やHitachi Web Serverのプロセスダウンが発生します。

悪意のある第三者からの攻撃により，上記の問題が発生する可能性があります。影響を受けるバージョンを下記に示しますので，対策版の適用をお願いいたします。
なお，リバースプロキシ機能を使用していない場合は，本脆弱性は発生しません。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム

脆弱性が含まれるバージョン

対象製品名 : Hitachi Web Server

対象バージョン :

HP-UX

03-00 - 03-00-01

HP-UX(IPF)

03-00 - 03-00-04, 03-10, 04-00

Windows

03-00 - 03-00-03, 03-10 - 03-10-03, 04-00

Solaris

03-00 - 03-00-01, 03-10

Linux

03-00 - 03-00-01, 03-10, 04-00

Linux(IPF)

03-00 - 03-00-01, 03-10, 04-00

AIX

03-00 - 03-00-01, 03-10, 04-00

また本問題は，Hitachi Web Serverがバンドルされる下記のCosminexus製品にも該当します。Cosminexus製品に含まれるHitachi Web Serverのバージョン，及びCosminexus製品の対策バージョンについては，サポートサービス窓口へご相談願います。

■Cosminexus V8

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

HP-UX(IPF)

08-00

Windows

08-00 - 08-00-02

Linux

08-00

Linux(IPF)

08-00

AIX

08-00

対象製品名 : uCosminexus Service Platform

対象バージョン :

HP-UX(IPF)

08-00

Windows

08-00 - 08-00-02

Solaris

08-00

Linux

08-00

Linux(IPF)

08-00

AIX

08-00

対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Standard

対象バージョン :

Windows

08-00 - 08-00-02

対象製品名 : uCosminexus Service Architect

対象バージョン :

Windows

08-00 - 08-00-02

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

HP-UX

07-10 - 07-10-02

HP-UX(IPF)

07-00, 07-10 - 07-10-03, 07-60 - 07-60-01

Windows

07-00 - 07-00-04, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

Solaris

07-00 - 07-00-01, 07-10, 07-60 - 07-60-01

Linux

07-00 - 07-00-02, 07-10 - 07-10-01, 07-50 - 07-50-01, 07-60 - 07-60-02

Linux(IPF)

07-10 - 07-10-02, 07-60 - 07-60-02

AIX

07-00 - 07-00-01, 07-10 - 07-10-01, 07-50 - 07-50-02, 07-60 - 07-60-02

対象製品名 : uCosminexus Service Platform

対象バージョン :

Windows

07-00 - 07-00-04, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

Linux

07-00 - 07-00-02, 07-10 - 07-10-01, 07-50 - 07-50-01, 07-60 - 07-60-02

AIX

07-10 - 07-10-01, 07-50 - 07-50-02, 07-60 - 07-60-02

対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Standard

対象バージョン :

Windows

07-00 - 07-00-04, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

対象製品名 : uCosminexus Service Architect

対象バージョン :

Windows

07-00 - 07-00-04, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム

脆弱性の対策バージョン 対策版提供日

対象製品名 : Hitachi Web Server

対策バージョン :

HP-UX

03-00-07 2012.05.07

HP-UX(IPF)

03-00-05 2010.09.21

03-10-08 2010.07.14

04-00-01 2009.06.30

Windows

03-00-05 2010.06.18

03-10-04 2009.07.28

04-00-01 2009.06.29

Solaris

03-00-07 2011.12.05

03-10-04 2010.01.22

Linux

03-00-06 2011.03.09

03-10-04 2009.09.14

04-00-01 2009.05.21

Linux(IPF)

03-00-06 2011.04.15

03-10-09 2011.04.22

04-00-05 2011.04.19

AIX

03-00-05 2010.06.29

03-10-09 2011.02.23

04-00-02 2009.11.13

更新履歴

2014.05.14

CVE番号に関する情報を追加しました。

2012.05.14

[対策版の提供]を更新しました。

2011.12.28

[対策版の提供]を更新しました。

2011.04.26

[対策版の提供]を更新しました。

2011.03.23

[対策版の提供]を更新しました。

2011.02.28

[対策版の提供]を更新しました。

2010.11.17

[対策版の提供]を更新しました。

2010.07.30

[対策版の提供]を更新しました。

2010.07.12

[対策版の提供]を更新しました。

2009.09.09

[対策版の提供]を更新しました。

2009.07.10

[対策版の提供]を更新しました。

2009.06.04

このセキュリティ情報ページを新規作成および発信しました。