A Oracle iPlanet Web Server 6.1 の過去のリリースの機能と拡張機能

Oracle iPlanet Web Server 6.1 の SP12 より前のサービスパックリリースで提供された機能および拡張機能については、各リリースに固有のリリースノートに個別に記載されています。これらは次の場所から入手できます。

http://docs.oracle.com/cd/E19857-01/index.html

この章では、Oracle iPlanet Web Server 6.1 SP12 以降のリリースの機能および拡張機能の一覧を示します。次の節が含まれます。

• Appendix A, "6.1 SP15 の機能および拡張機能"

• Appendix A, "6.1 SP14 の機能および拡張機能"

• Appendix A, "6.1 SP13 の機能および拡張機能"

• Appendix A, "6.1 SP12 の機能および拡張機能"

A.1 6.1 SP15 の機能および拡張機能

この節では、Oracle iPlanet Web Server 6.1 SP15 の機能および拡張機能の一覧を示します。

• このリリースでは、新しいプロパティー maxrequestsperconnection が導入されました。このプロパティーを使用して、キープアライブ接続の要求の数を減らすことにより、セキュリティーの脆弱性 CVE-2011-3389 を解決できます。

  maxrequestsperconnection を次の例のように設定できます。

  <LS id="ls1" port="1892" servername="pegasus.example.com"
  maxrequestsperconnection="9" defaultvs="https-test"/>
   
  

• Oracle iPlanet Web Server 6.1 SP15 ではネットワークセキュリティーサービス (NSS) 3.13.1.0 がサポートされます。

A.2 6.1 SP14 の機能および拡張機能

この節では、Oracle iPlanet Web Server 6.1 SP14 の機能および拡張機能の一覧を示します。

A.2.1 JDK が 1.6.0_24 に更新

Oracle iPlanet Web Server 6.1 SP14 では、製品とともにパッケージ化されている JDK 6 のバージョンが JDK 6 update 24 に変更されています。この変更は、セキュリティーの脆弱性 CVE-2010-4476 (「2.2250738585072012e-308」をバイナリ浮動小数点数に変換すると、Java Runtime Environment がハングアップする) に対応するためです。

セキュリティーの脆弱性 CVE-2010-4476 の詳細は、次のオラクルセキュリティーアラートを参照してください。

http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html

A.2.2 NSS が 3.12.8 に更新

Oracle iPlanet Web Server 6.1 SP14 には NSS バージョン 3.12.8 が統合されています。

このバージョンでの変更点については、次の NSS 3.12.8 リリースノートを参照してください。

https://developer.mozilla.org/en/NSS_3.12.8_release_notes

A.3 6.1 SP13 の機能および拡張機能

この節では、Oracle iPlanet Web Server 6.1 SP13 の機能および拡張機能の一覧を示します。

• NSS および NSPR のバージョン更新による SSL/TLS の脆弱性の解決

• HTTP 応答分割および XSS の脆弱性の解決

• JDK のバージョン更新

• CSR での 2048 ビットキーサイズのサポート

• CSR の暗号化モジュールがデフォルトで「内部」に設定される

• 管理 GUI の Verisign 証明書オプションの削除

• マニュアルの修正と更新

A.3.1 NSS および NSPR のバージョン更新による SSL/TLS の脆弱性の解決

Web Server 6.1 SP12 には NSS 3.12.5 が含まれていましたが、これは SSL/TLS 再ネゴシエーション脆弱性 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555 を軽減しましたが、解消するまでには至りませんでした。また、Web Server 6.1 SP12 では、Web Server を攻撃から保護するために SSL/TLS 再ネゴシエーションのすべての使用が無効になっていました。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗しました。

Web Server 6.1 SP13 には NSS 3.12.7 が含まれており、これが安全な SSL/TLS 再ネゴシエーションを実現し、CVE-2009-3555 を解消します。そのため、Web Server 6.1 SP13 では SSL/TLS 再ネゴシエーションの使用がふたたび有効になっています。Web Server 6.1 SP13 での NSS および NSPR のサポートの詳細については、Section 1.5.13, "NSS および NSPR のサポート."を参照してください。

A.3.2 HTTP 応答分割および XSS の脆弱性の解決

問題 6957507 で報告されたとおり、以前の Web Server 6.1 バージョンには HTTP 応答分割および XSS の脆弱性が発見されていました。Web Server 6.1 SP13 ではこの脆弱性が修正されています。

A.3.3 JDK のバージョン更新

Web Server 6.1 SP13 には JDK 1.6.0_21 が含まれています。

A.3.4 CSR での 2048 ビットキーサイズのサポート

問題 6951364 への対応として、Web Server 6.1 SP13 の管理 GUI では、「セキュリティー」⇒「証明書の要求」を使用して CSR (証明書署名要求) を生成するときに 2048 ビットのキーサイズを指定できます。

A.3.5 CSR の暗号化モジュールがデフォルトで「内部」に設定される

問題 6922063 への対応として、Web Server 6.1 SP13 では、管理 GUI で「セキュリティー」⇒「証明書の要求」を選択したときに「暗号化モジュール」のデフォルト値が「内部」になります。また、「NSS 汎用暗号化サービス」は削除されています。

A.3.6 管理 GUI の Verisign 証明書オプションの削除

問題 6972686 への対応として、管理 GUI の「セキュリティー」タブから「Request Verisign Certificate」コマンドと「Install Verisign Certificate」コマンドが削除されました。

A.3.7 マニュアルの修正と更新

次に示すマニュアルの問題に対処するために、Section 3.1, "6.1 SP12 のマニュアルに対する修正と更新"が更新されました。

問題 ID	説明
6938886	「Setting Access Rights」で、使用可能なメソッドに関する誤った情報を削除するべきです
6940796	net_read は、タイムアウトしたときに errno に EAGAIN を設定できます。
6966631	PathCheck の文が正しくありません。
6973013	Web 6.1 ドキュメントバグ: コマンド行からの schedulerd の停止に関して「- rm $PID_FILE」の「-」を削除する必要があります
6977268	Web 6.1 および 7.0 ドキュメント RFE: すべての要求ヘッダー名が小文字で返されます

A.4 6.1 SP12 の機能および拡張機能

• Solaris、Linux および Windows プラットフォームで、Web Server 6.1 SP12 に JDK 1.6.0_17 が含まれています。Web Server 6.1 SP12 は、下位互換性のために JDK 5 を引き続きサポートします。

• このリリースでは、セキュリティーの脆弱性に関連したバグを含む重要なバグが修正されています。

  • Bug 6916390 では、Web Server の WebDAV 拡張機能に存在する形式文字列の脆弱性について説明します。これらの問題により、リモートクライアントが Web Server のクラッシュを発生させ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。また、これらの問題により、リモートの無許可ユーザーが昇格した特権を獲得し、機密情報を含むファイルにアクセスして変更を加えることができる可能性があります。

  • Bug 6916391 では、Web Server のダイジェスト認証方法で起きるバッファーオーバーフローの問題について説明します。この問題により、リモートの無許可ユーザーが Web サーバーをクラッシュさせ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。これらの問題が原因となって、昇格した特権で任意のコードが実行されてしまう可能性もあります。

  • Bug 6916392 では、Web Server の HTTP TRACE 機能で起きるヒープオーバーフローの問題について説明します。この問題により、リモートの無許可ユーザーが Web サーバーをクラッシュさせ、サービス拒否 (DoS) の状況を作り出すことができる可能性があります。これらの問題が悪用され、機密情報への無許可アクセスを許してしまう可能性もあります。

• SSL/TLS の脆弱性の修正 (CVE-2009-3555)

  Web Server 6.1 SP12 には SSL/TLS の再ネゴシエーションに関する脆弱性 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555) を軽減する NSS 3.12.5 が含まれています。

  この脆弱性は、現在の SSL/TLS 再ネゴシエーションプロトコル定義の不備によるものです。Web Server 実装のバグではありません。そのような理由により、この脆弱性に対する実装レベルの修正は提供されません。Web Server を攻撃から守るための唯一の回避方法は、再ネゴシエーションを完全に無効化することです。

  したがって、Web Server 6.1 SP12 では SSL/TLS 再ネゴシエーションのすべての使用が無効になっています。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗します。

  SSL/TLS 接続が最初に確立されたあと、しばらく時間が経ってからクライアント証明書を取得する目的には、再ネゴシエーションを使用するのが一般的でした。現在では、Web アプリケーションがこの方法でクライアント証明書を取得しようとしても失敗します。

  初期の接続ハンドシェークの間にクライアント証明書を取得する処理は、現在も正常に機能します。このモードは、server.xml で client-auth 要素を「required」に設定することによって設定できます。

  <http-listener>
     <ssl>
        <client-auth>required</client-auth>
     </ssl>
  </http-listener>