Hitachi Web ServerのSSLクライアント認証における脆弱性

2014.05.14 更新

不正なクライアント証明書を用いたリクエストを受信した場合に，不正な環境変数が設定されたり，クライアントが別のユーザに成りすましてWebサーバにアクセスすることがあります。（SSLクライアント認証における脆弱性(CVE-2008-0555)が存在します。）

脆弱性ID

HS09-010

脆弱性の内容

SSLクライアント認証を使用しており，クライアントから不正な識別名を持つクライアント証明書を用いたリクエストを受信した場合，Hitachi Web Serverが設定する，SSL_CLIENT_～環境変数に不正な値が設定されます。
また，LDAP連携機能を利用しクライアント証明書のCommon Name(CN)に基づくアクセス制御を行なう場合に，別のユーザに成りすましてWebサーバにアクセスすることが可能になります。

悪意のある第三者からの攻撃により，上記の問題が発生する可能性があります。影響を受けるバージョンを下記に示しますので，対策版の適用をお願いいたします。
なお，SSLクライアント認証を使用していない設定の場合は，本脆弱性は発生しません。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム

脆弱性が含まれるバージョン

対象製品名 : Hitachi Web Server

対象バージョン :

HP-UX(10.20以前)

01-00 - 01-02-/D(*1)

HP-UX(11.00以降)

01-00 - 01-02-/D(*1), 02-00 - 02-04-/B, 03-00 - 03-00-01

HP-UX(IPF)

02-02 - 02-04-/E, 03-00 - 03-00-01

Windows

02-00 - 02-04-/D, 03-00 - 03-00-03, 03-10 - 03-10-01

Windows(IPF)

02-03 - 02-04-/A(*2)

Solaris

01-00 - 01-02-/D(*1), 02-00 - 02-04-/B, 03-00 - 03-00-01, 03-10

Linux

01-01 - 01-01-/D(*1), 02-00 - 02-00-/A(*1), 02-02 - 02-06-/A, 03-00 - 03-00-01, 03-10

Linux(IPF)

02-02 - 02-04-/C, 03-00 - 03-00-01, 03-10

TurboLinux Server 6 for MP Series

01-01(*2)

TurboLinux 7 Server for AP8000

02-00(*2)

AIX

01-02 - 01-02-/E(*1), 02-00 - 02-04-/E, 03-00 - 03-00-01, 03-10

対象製品名 : Hitachi Web Server - Security Enhancement

対象バージョン :

HP-UX(IPF)

02-04 - 02-04-/E

*1

本バージョンをお使いの方は，後継製品へのバージョンアップをお願いいたします。

*2

本バージョンをお使いの方は，サポートサービス窓口へご相談願います。

また本問題は，Hitachi Web Serverがバンドルされる下記のCosminexus製品にも該当します。Cosminexus製品に含まれるHitachi Web Serverのバージョン，及びCosminexus製品の対策バージョンについては，サポートサービス窓口へご相談願います。

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

HP-UX

07-10 - 07-10-02

HP-UX(IPF)

07-00, 07-10 - 07-10-03, 07-60 - 07-60-01

Windows

07-00 - 07-00-03, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

Solaris

07-00 - 07-00-01, 07-10, 07-60 - 07-60-01

Linux

07-00 - 07-00-02, 07-10 - 07-10-01, 07-50 - 07-50-01, 07-60 - 07-60-02

Linux(IPF)

07-10 - 07-10-02, 07-60 - 07-60-02

AIX

07-00 - 07-00-01, 07-10 - 07-10-01, 07-50 - 07-50-02, 07-60 - 07-60-02

対象製品名 : uCosminexus Service Platform

対象バージョン :

Windows

07-00 - 07-00-03, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

Linux

07-00 - 07-00-02, 07-10 - 07-10-01, 07-50 - 07-50-01, 07-60 - 07-60-02

AIX

07-10 - 07-10-01, 07-50 - 07-50-02, 07-60 - 07-60-02

対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Service Architect

対象バージョン :

Windows

07-00 - 07-00-03, 07-10 - 07-10-03, 07-20 - 07-20-04, 07-50 - 07-50-04, 07-60 - 07-60-07

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise

対象バージョン :

HP-UX

06-70 - 06-70-/E

HP-UX(IPF)

06-70 - 06-70-/N

Windows

06-70 - 06-70-/F, 06-71 - 06-71-/F

Windows(IPF)

06-70 - 06-70-/A

Solaris

06-70 - 06-70-/E

Linux

06-70 - 06-70-/F, 06-71 - 06-71-/G

Linux(IPF)

06-70 - 06-70-/G

AIX

06-70 - 06-70-/M

対象製品名 : uCosminexus Application Server Standard

対象バージョン :

HP-UX

06-70 - 06-70-/E, 06-72 - 06-72-/D

HP-UX(IPF)

06-70 - 06-70-/N

Windows

06-70 - 06-70-/F, 06-71 - 06-71-/F

Windows(IPF)

06-70 - 06-70-/A

Solaris

06-70 - 06-70-/E

Linux

06-70 - 06-70-/F, 06-71 - 06-71-/G

Linux(IPF)

06-70 - 06-70-/G

AIX

06-70 - 06-70-/M

対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Light

対象バージョン :

Windows

06-70 - 06-70-/D, 06-71 - 06-71-/F

■Cosminexus V6

対象製品名 : Cosminexus Application Server Enterprise Version 6
対象製品名 : Cosminexus Application Server Standard Version 6

対象バージョン :

HP-UX

06-00 - 06-00-/F, 06-50 - 06-50-/F

HP-UX(IPF)

06-00 - 06-00-/E, 06-50 - 06-50-/E

Windows

06-00 - 06-00-/I, 06-02 - 06-02-/G, 06-50 - 06-50-/F, 06-51 - 06-51-/K

Windows(IPF)

06-00, 06-51

Solaris

06-00 - 06-00-/A, 06-50 - 06-50-/C

Linux

06-00 - 06-00-/D, 06-02 - 06-02-/F, 06-50 - 06-50-/C, 06-51 - 06-51-/E

Linux(IPF)

06-00 - 06-00-/B, 06-02 - 06-02-/D, 06-50 - 06-50-/B, 06-51 - 06-51-/B

AIX

06-00 - 06-00-/I, 06-50 - 06-50-/I

対象製品名 : Cosminexus Developer Professional Version 6
対象製品名 : Cosminexus Developer Standard Version 6
対象製品名 : Cosminexus Developer Light Version 6

対象バージョン :

Windows

06-00 - 06-00-/I, 06-02 - 06-02-/G, 06-50 - 06-50-/F, 06-51 - 06-51-/K

■Cosminexus V5以前

対象製品名 : Cosminexus Application Server Version 5

対象バージョン :

HP-UX

05-00 - 05-00-/C, 05-02 - 05-02-/E, 05-05 - 05-05-/I

Windows

05-01 - 05-01-/L, 05-05 - 05-05-/P

Linux

05-05 - 05-05-/I

AIX

05-00 - 05-00-/S, 05-05 - 05-05-/O

対象製品名 : Cosminexus Developer Version 5

対象バージョン :

Windows

05-01 - 05-01-/L, 05-05 - 05-05-/P

対象製品名 : Cosminexus Server - Standard Edition Version 4

対象バージョン :

HP-UX

04-01

Solaris

04-01

AIX

04-01

対象製品名 : Cosminexus Server - Web Edition Version 4

対象バージョン :

HP-UX

04-01

Solaris

04-01

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム

脆弱性の対策バージョン 対策版提供日

対象製品名 : Hitachi Web Server

対策バージョン :

HP-UX(11.00以降)

02-04-/F 2009.01.05

03-00-07 2012.05.07

HP-UX(IPF)

02-04-/F 2009.02.26

03-00-04 2008.11.18

03-10-08 2010.07.14

Windows

02-01-/B 2011.08.17

02-04-/F 2009.01.28

03-00-05 2010.06.18

03-10-03 2009.03.12

Solaris

02-04-/F 2009.05.07

03-00-07 2011.12.05

03-10-04 2010.01.22

Linux

02-06-/F 2009.01.30

03-00-06 2011.03.09

03-10-04 2009.09.14

Linux(IPF)

02-04-/F 2009.04.10

03-00-06 2011.04.15

03-10-09 2011.04.22

AIX

02-04-/F 2009.04.02

03-00-05 2010.06.29

03-10-09 2011.02.23

対象製品名 : Hitachi Web Server - Security Enhancement

対策バージョン :

HP-UX(IPF)

02-04-/I 2011.05.25

更新履歴

2014.05.14

CVE番号に関する情報を追加しました。

2012.05.14

[対策版の提供]を更新しました。

2011.12.28

[対策版の提供]を更新しました。

2011.10.19

[対策版の提供]を更新しました。

2011.06.03

[対象製品], [対策版の提供]を更新しました。

2011.04.26

[対策版の提供]を更新しました。

2011.03.23

[対策版の提供]を更新しました。

2011.02.28

[対策版の提供]を更新しました。

2010.07.30

[対策版の提供]を更新しました。

2010.07.12

[対策版の提供]を更新しました。

2009.06.04

このセキュリティ情報ページを新規作成および発信しました。