Solaris、Linux、および Windows プラットフォームで、Web Server 6.1 SP12 に JDK 1.6.0_17 が含まれるようになりました。Web Server 6.1 SP12 は、下位互換性のために JDK 5 を引き続きサポートします。個別のプラットフォームでサポートされるバージョンについては、「J2SE および Java SE のサポート」を参照してください。
このリリースでは、セキュリティーの脆弱性に関連したバグを含む重要なバグが修正されています。
Bug 6916390 では、 Web Server の WebDAV 拡張機能に存在する形式文字列の脆弱性について説明します。これらの問題により、リモートクライアントが Web Server のクラッシュを発生させ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。また、これらの問題により、リモートの無許可ユーザーが昇格した特権を獲得し、機密情報を含むファイルにアクセスして変更を加えることができる可能性があります。
Bug 6916391 では、 Web Server のダイジェスト認証方法で起きるバッファーオーバーフローの問題について説明します。この問題により、リモートの無許可ユーザーが Web サーバーをクラッシュさせ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。これらの問題が原因となって、昇格した特権で任意のコードが実行されてしまう可能性もあります。
Bug 6916392 では、 Web Server の HTTP TRACE 機能で起きるヒープオーバーフローの問題について説明します。この問題により、リモートの無許可ユーザーが Web サーバーをクラッシュさせ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。これらの問題が悪用され、機密情報への無許可アクセスを許してしまう可能性もあります。
Web Server 6.1 SP12 がアップグレードされ、SSL/TLS の再ネゴシエーションに関する脆弱性 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555) への対策が施された NSS 3.12.5 が含まれるようになりました。
この脆弱性は、現在の SSL/TLS 再ネゴシエーションプロトコル定義の不備によるものです。Web Server 実装のバグではありません。そのような理由により、この脆弱性に対する実装レベルの修正は提供されません。Web Server を攻撃から守るための唯一の回避方法は、再ネゴシエーションを完全に無効化することです。
したがって、Web Server 6.1 SP12 では SSL/TLS 再ネゴシエーションのすべての使用が無効になっています。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗します。
SSL/TLS 接続が最初に確立されたあと、しばらく時間が経ってからクライアント証明書を取得する目的には、再ネゴシエーションを使用するのが一般的でした。現在では、Web アプリケーションがこの方法でクライアント証明書を取得しようとしても失敗します。
初期の接続ハンドシェークの間にクライアント証明書を取得する処理は、現在も正常に機能します。このモードは、server.xml で client-auth 要素を「required」に設定することによって設定できます。
<http-listener> <ssl> <client-auth>required</client-auth> </ssl> </http-listener> |
Web Server 6.1 の将来のアップデートでは、IETF が新規のプロトコル拡張の設計を確定した時点で速やかに、安全な再ネゴシエーションプロトコルを実装する予定です。NSS_SSL_ENABLE_RENEGOTIATION=1 のように環境変数を設定することにより、脆弱性のある SSL/TLS 再ネゴシエーション機能を再び有効にすることが可能です。このモードは CVE-2009-3555 で説明されている攻撃に対して脆弱であることが確認されています。