2014.05.14 更新
不正なクライアント証明書を用いたリクエストを受信した場合に,不正な環境変数が設定されたり,クライアントが別のユーザに成りすましてWebサーバにアクセスすることがあります。(SSLクライアント認証における脆弱性(CVE-2008-0555)が存在します。)
HS09-010
SSLクライアント認証を使用しており,クライアントから不正な識別名を持つクライアント証明書を用いたリクエストを受信した場合,Hitachi Web Serverが設定する,SSL_CLIENT_~環境変数に不正な値が設定されます。
また,LDAP連携機能を利用しクライアント証明書のCommon Name(CN)に基づくアクセス制御を行なう場合に,別のユーザに成りすましてWebサーバにアクセスすることが可能になります。
悪意のある第三者からの攻撃により,上記の問題が発生する可能性があります。影響を受けるバージョンを下記に示しますので,対策版の適用をお願いいたします。
なお,SSLクライアント認証を使用していない設定の場合は,本脆弱性は発生しません。
対象バージョン :
対象バージョン :
対象バージョン :
また本問題は,Hitachi Web Serverがバンドルされる下記のCosminexus製品にも該当します。Cosminexus製品に含まれるHitachi Web Serverのバージョン,及びCosminexus製品の対策バージョンについては,サポートサービス窓口へご相談願います。
■Cosminexus V7
対象バージョン :
対象バージョン :
対象バージョン :
■Cosminexus V6.7
対象バージョン :
対象バージョン :
対象バージョン :
■Cosminexus V6
対象バージョン :
対象バージョン :
■Cosminexus V5以前
対象バージョン :
対象バージョン :
対象バージョン :
対象バージョン :
対策バージョン :
対策バージョン :
対策バージョン :
セキュリティ対策版は改良版にて提供いたします。
「改良版の提供について」のWebページをご参照いただき,手順に従ってご入手ください。
(改良版の入手にはサポートサービスの契約が必要です)