test

Sun Java System Web Server 7.0 リリースノート (UNIX 版)

セキュリティー

次の表に、Web Server のセキュリティー領域における既知の問題の一覧を示します。

表 15 セキュリティーにおける既知の問題

バグ ID 

説明 

6433752 

ssl-check が NSAPI ベースのプラグインと連携動作しない。 

"PathCheck fn="ssl-check" secret-keysize=128 bong file="xxxxx.yyy.html"

静的ファイルの要求に対し、クライアントの secret-keysize がサーバーによって指定されたサイズよりも小さく、かつ bong ファイルが存在しているならば、その bong ファイルは応答として送り返されます。ところが、動的コンテンツ (JSP ファイルなど) が要求された場合には、bong ファイルではなく、実際に要求されたオブジェクト (たとえば、JSP ファイル) が返されます。

6421617 

サーバーにより解析される HTML (ParseHTML) と「restricted by group」オプションを含む .htaccess で問題が発生する。

shtml インクルードエントリを含み、「restricted by group」オプションが有効化された .htaccess 経由で認証されるように設定された HTML ファイルを解析すると、認証が成功します。グループユーザーが認証されても、結果ページは shtml インクルードエントリを取得しません。ただしこれは、「restricted by user」オプションを含む .htaccess ファイル内のユーザーとは正常に連携動作します。

 

6376901 

同一ディレクトリ内のリソースに関する基本ベースおよびダイジェストベース ACL のサポートに制限がある。

サーバーがダイジェストベースの ACL と基本ベースの ACL をドキュメントツリー内の異なる部分で使用する場合、その両方を同一ディレクトリ内の異なるファイルやリソースで同時に使用しようとしても、失敗します。 

6431287 

TLS_ECDH_RSA_* には、RSA キーで署名されたサーバー証明書が必要である。

書式 TLS_ECDH_RSA_* の暗号化方式群を使用するには、サーバーが ECC キーペアと、RSA キーで署名された証明書を持っている必要があります。ここでは、自己署名付き証明書でこれらの暗号化方式群を使用することが除外されている点に注意してください。この要件はこれらの暗号化方式群にとって特有なものであり、バグではありません。サーバーはこれらの暗号化方式群に関連する間違った設定を検出して警告を発するべきですが、現時点ではそのようになっていません。

6467621 

「Sun Software PKCS#11 softtoken」使用時にサーバーへの要求が失敗する。

Solaris 10 libpkcs11 を使用するように Web Server を設定する方法の詳細については、次のドキュメントを参照してください。

http://www.sun.com/bigadmin/features/articles/web_server_t1.html

http://www.sun.com/blueprints/browsedate.html#0306

6474584 

dayofweek が「*」をオプションとして受け取らない。

たとえば、ACL を次のように設定します。 

acl "uri=/"; 
deny (all) dayofweek="*"; 
allow (all) dayofweek="Sat,Sun";

このプログラムでは、土曜日と日曜日を除いたすべての曜日のアクセスを制限しようとしています。このプログラムは正しく機能しません。なぜなら、月曜日にこの ACL に正常にアクセスできるからです。 

回避策

月曜日から金曜日までの ACL へのアクセスを制限するには、ACL を次のように設定します。 

acl "uri=/";
deny (all) dayofweek="Mon,Tue,Web,Thu,Fri";
allow (all) dayofweek="Sat,Sun";

これで、月曜日の要求が拒否されます。 

6489913 

SSL のセッションキャッシュを無効にできない。

セッションキャッシュはデフォルトで有効になっています。セッションキャッシュが無効になった状態で HTTPs プロトコル経由で URL にアクセスすると、URL の処理は完了せず、サーバーログには、session-cache なしでは SSL を設定できないことを示すエラーメッセージが表示されます。

回避策

SSL のキャッシュサイズと有効期限を、サポートされている最小値にまで減らします。 

6510486 

htaccess 規則がメモリー内で破壊される可能性がある。

単一の .htaccess ファイルに 6 つ以上の許可規則または拒否規則が含まれている場合、いくつかの規則がメモリー内で破壊される可能性があります。この問題が発生すると、いくつかの規則の処理が無視される可能性があります。

回避策

単一の .htaccess ファイルの規則を、5 つ以下に制限します。

あるいは、htaccess の代わりに ACL サブシステムを使って、サーバーリソースへのアクセス制御を行います。ACL の設定方法については、『Sun Java System Web Server 7.0 管理ガイド』を参照してください。