Oracle iPlanet Web Server 6.1 の SP12 より前のサービスパックリリースで提供された機能および拡張機能については、各リリースに固有のリリースノートに個別に記載されています。これらは次の場所から入手できます。
http://download.oracle.com/docs/cd/E19857-01/index-ja.html
この章では、Oracle iPlanet Web Server 6.1 SP12 および SP13 の機能および拡張機能の一覧を示します。
この節では、Oracle iPlanet Web Server 6.1 SP14 の機能および拡張機能の一覧を示します。
Oracle iPlanet Web Server 6.1 SP14 では、製品とともにパッケージ化されている JDK 6 のバージョンが JDK 6 update 24 に変更されています。この変更は、セキュリティーの脆弱性 CVE-2010-4476 (「2.2250738585072012e-308」をバイナリ浮動小数点数に変換すると、Java Runtime Environment がハングアップする) に対応するためです。
セキュリティーの脆弱性 CVE-2010-4476 の詳細は、次のオラクルセキュリティーアラートを参照してください。
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
この節では、Oracle iPlanet Web Server 6.1 SP13 の機能および拡張機能の一覧を示します。
Web Server 6.1 SP12 に含まれていた NSS 3.12.5 では、SSL/TLS 再ネゴシエーション時の脆弱性 という問題 (CVE-2009-3555) を軽減していましたが、解決はできていませんでした (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555
参照)。また、Web Server 6.1 SP12 では、Web Server を攻撃から保護するために SSL/TLS 再ネゴシエーションのすべての使用が無効になっていました。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗しました。
Web Server 6.1 SP13 では NSS 3.12.7 を含み、SSL/TLS の再ネゴシエーションを安全に実行できるため、CVE-2009-3555 の問題は解決されました。この結果、Web Server 6.1 SP13 では SSL/TLS 再ネゴシエーションを再び使用できるようになりました。Web Server 6.1 SP13 での NSS および NSPR のサポートの詳細については、Section 1.5.13, "NSS および NSPR のサポート."を参照してください。
問題 6957507 で報告されたとおり、以前の Web Server 6.1 バージョンには HTTP 応答分割および XSS の脆弱性が発見されていました。Web Server 6.1 SP13 ではこの脆弱性が修正されています。
Web Server 6.1 SP13 には JDK 1.6.0_21 が含まれています。
問題 6951364 への対応として、Web Server 6.1 SP13 の管理 GUI では、「セキュリティー」⇒「証明書の要求」を使用して CSR (証明書署名要求) を生成するときに 2048 ビットのキーサイズを指定できます。
問題 6922063 への対応として、Web Server 6.1 SP13 では、管理 GUI で「セキュリティー」⇒「証明書の要求」を選択したときに「暗号化モジュール」のデフォルト値が「内部」になります。また、「NSS 汎用暗号化サービス」は削除されています。
問題 6972686 への対応として、管理 GUI の「セキュリティー」タブから「Request Verisign Certificate」コマンドと「Install Verisign Certificate」コマンドが削除されました。
次に示すマニュアルの問題に対処するために、Section 3.1, "6.1 SP12 のマニュアルに対する修正と更新"が更新されました。
問題 ID | 説明 |
---|---|
6938886 | 「Setting Access Rights」で、使用可能なメソッドに関する誤った情報を削除するべきです |
6940796 | net_read は、タイムアウトしたときに errno に EAGAIN を設定できます。 |
6966631 | PathCheck の文が正しくありません。 |
6973013 | Web 6.1 ドキュメントバグ: コマンド行からの schedulerd の停止に関して「- rm $PID_FILE」の「-」を削除する必要があります |
6977268 | Web 6.1 および 7.0 ドキュメント RFE: すべての要求ヘッダー名が小文字で返されます |
Solaris、Linux および Windows プラットフォームで、Web Server 6.1 SP12 に JDK 1.6.0_17 が含まれています。Web Server 6.1 SP12 は、下位互換性のために JDK 5 を引き続きサポートします。
このリリースでは、セキュリティーの脆弱性に関連したバグを含む重要なバグが修正されています。
Bug 6916390 では、Web Server の WebDAV 拡張機能に存在する形式文字列の脆弱性について説明します。これらの問題により、リモートクライアントが Web Server のクラッシュを発生させ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。また、これらの問題により、リモートの無許可ユーザーが昇格した特権を獲得し、機密情報を含むファイルにアクセスして変更を加えることができる可能性があります。
Bug 6916391 では、Web Server のダイジェスト認証方法で起きるバッファーオーバーフローの問題について説明します。この問題により、リモートの無許可ユーザーが Web サーバーをクラッシュさせ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。これらの問題が原因となって、昇格した特権で任意のコードが実行されてしまう可能性もあります。
Bug 6916392 では、Web Server の HTTP TRACE 機能で起きるヒープオーバーフローの問題について説明します。この問題により、リモートの無許可ユーザーが Web サーバーをクラッシュさせ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。これらの問題が悪用され、機密情報への無許可アクセスを許してしまう可能性もあります。
SSL/TLS の脆弱性の修正 (CVE-2009-3555)
Web Server 6.1 SP12 には SSL/TLS の再ネゴシエーションに関する脆弱性 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555
参照) を軽減する NSS 3.12.5 が含まれています。
この脆弱性は、現在の SSL/TLS 再ネゴシエーションプロトコル定義の不備によるものです。Web Server 実装のバグではありません。そのような理由により、この脆弱性に対する実装レベルの修正は提供されません。Web Server を攻撃から守るための唯一の回避方法は、再ネゴシエーションを完全に無効化することです。
したがって、Web Server 6.1 SP12 では SSL/TLS 再ネゴシエーションのすべての使用が無効になっています。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗します。
一般的に再ネゴシエーションは、SSL/TLS 接続が最初に確立されたあと、しばらく時間がたってからクライアント証明書を取得する際に使用されていました。現在では、Web アプリケーションがこの方法でクライアント証明書を取得しようとしても失敗します。
初期の接続ハンドシェークの間にクライアント証明書を取得する処理は、現在も正常に機能します。このモードは、server.xml
で client-auth
要素を「required」に設定することによって設定できます。
<http-listener> <ssl> <client-auth>required</client-auth> </ssl> </http-listener>