Oracle iPlanet Web Server 6.1のSP12より前のサービス・パック・リリースで提供された機能および拡張機能については、各リリースに固有のリリース・ノートで説明されています。これらは次の場所から入手できます。
http://docs.oracle.com/cd/E19857-01/index.html
この章では、Oracle iPlanet Web Server 6.1 SP12以降のリリースの機能および拡張機能を一覧表示します。次の項が含まれています:
Oracle iPlanet Web Server 6.1 SP17には、新機能と拡張機能はありません。このリリースではセキュリティの問題に対処しています。
この項では、Oracle iPlanet Web Server 6.1 SP16で提供される機能および拡張機能を一覧表示します。
このリリースは、Javaハッシュ表衝突のセキュリティの脆弱性CVE-2011-5035に対処しています。
新しい属性maxparametercount
が、server.xml
構成ファイルのJAVA
要素に追加されています。maxparametercount
属性を使用して、JSPまたはサーブレット・リクエストに許可されるパラメータ数の制限を指定できます。これは、リモートの攻撃者が特別に細工したパラメータをリクエストに含めることによって発生する可能性のある、サービス拒否からサーバーを保護するために役立ちます。
リクエスト内のパラメータの数が構成されたmaxparametercount
を超えている場合、余分なパラメータは無視されます。maxparametercount
の値としては、任意の正の整数を指定できます。デフォルト値は10000
です。
この項では、Oracle iPlanet Web Server 6.1 SP15で提供される機能および拡張機能を一覧表示します。
このリリースでは、新しいプロパティmaxrequestsperconnection
が導入されました。このプロパティを使用して、キープアライブ接続のリクエストの数を減らすことにより、セキュリティの脆弱性CVE-2011-3389を解決できます。
maxrequestsperconnection
を次の例のように設定できます。
<LS id="ls1" port="1892" servername="pegasus.example.com" maxrequestsperconnection="9" defaultvs="https-test"
Oracle iPlanet Web Server 6.1 SP15ではネットワーク・セキュリティ・サービス(NSS) 3.13.1.0がサポートされます。
この項では、Oracle iPlanet Web Server 6.1 SP14で提供される機能および拡張機能を一覧表示します。
Oracle iPlanet Web Server 6.1 SP14では、製品とともにパッケージ化されているJDK 6のバージョンがJDK 6 update 24に変更されています。この変更は、セキュリティの脆弱性CVE-2010-4476(2.2250738585072012e-308をバイナリ浮動小数点数に変換すると、Java Runtime Environmentがハングアップする)に対応するためです。
セキュリティの脆弱性CVE-2010-4476の詳細は、次のOracleセキュリティ・アラートを参照してください。
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
この項では、Oracle iPlanet Web Server 6.1 SP13で提供される機能および拡張機能を一覧表示します。
Web Server 6.1 SP12にはNSS 3.12.5が含まれていましたが、これはSSL/TLS再ネゴシエーション脆弱性(http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555
)を軽減しましたが、解消するまでには至りませんでした。また、Web Server 6.1 SP12では、Web Serverを攻撃から保護するためにSSL/TLS再ネゴシエーションのすべての使用が無効になっていました。クライアントまたはWeb Serverのどちらかが既存のSSL/TLSセッションで再ネゴシエーションをトリガーしようとすると、接続は失敗しました。
Web Server 6.1 SP13にはNSS 3.12.7が含まれており、これが安全なSSL/TLS再ネゴシエーションを実現し、CVE-2009-3555を解消します。この結果、Web Server 6.1 SP13ではSSL/TLS再ネゴシエーションを再び使用できるようになります。Web Server 6.1 SP13でのNSSおよびNSPRのサポートの詳細は、項 1.5.13, "NSSおよびNSPRのサポート."を参照してください。
問題6957507で報告されたとおり、以前のWeb Server 6.1バージョンにはHTTPレスポンス分割およびXSSの脆弱性が発見されていました。Web Server 6.1 SP13ではこの脆弱性が修正されています。
Web Server 6.1 SP13にはJDK 1.6.0_21が含まれています。
問題6951364への対応として、Web Server 6.1 SP13の管理GUIでは、「セキュリティ」⇒証明書のリクエストを使用してCSR (Certificate Signing Request)を生成するときに2048ビットのキー・サイズを指定できます。
問題6922063への対応として、Web Server 6.1 SP13では、管理GUIで「セキュリティ」⇒証明書のリクエストを選択したときに、暗号化モジュールのデフォルト値が「内部」に設定されます。また、NSS汎用暗号化サービス・オプションは除去されています。
問題6972686への対応として、管理GUIの「セキュリティ」タブからVerisign証明書のリクエスト・コマンドとVerisign証明書のインストール・コマンドが除去されています。
次に示すドキュメントの問題に対処するために、項 3.1, "6.1 SP12のマニュアルに対する修正と更新"が更新されました。
問題ID | 説明 |
---|---|
6938886 | 「アクセス権の設定」で、使用可能なメソッドに関する誤った情報を除去する必要がある |
6940796 | net_readは、タイムアウトしたときにerrnoにEAGAINを設定できます。 |
6966631 | PathCheckの文が正しくありません。 |
6973013 | Web 6.1ドキュメント・バグ - コマンドラインからのschedulerdの停止に関して「- rm $PID_FILE」の「-」を除去する必要がある |
6977268 | Web 6.1および7.0ドキュメントRFE - すべてのリクエスト・ヘッダー名が小文字で返される |
Solaris、LinuxおよびWindowsプラットフォームで、Web Server 6.1 SP12にJDK 1.6.0_17が含まれています。Web Server 6.1 SP12は、下位互換性のためにJDK 5を引き続きサポートします。
このリリースでは、セキュリティの脆弱性に関連したバグを含む重要なバグが修正されています。
Bug 6916390では、Web Serverに対するWebDAV拡張機能での書式文字列の脆弱性について説明します。これらの問題により、リモート・クライアントがWeb Serverのクラッシュを発生させ、サービス拒否(DoS)の状況を作り出すことができる可能性があります。また、これらの問題により、リモートの未認可ユーザーが昇格した特権を獲得し、機密情報を含むファイルにアクセスして変更を加えることができる可能性があります。
Bug 6916391では、Web Serverのダイジェスト認証メソッドで発生するバッファ・オーバーフローの問題について説明します。この問題により、権限のないリモート・ユーザーがWeb Serverをクラッシュさせ、サービス拒否(DoS)の状況を作り出すことができる可能性があります。これらの問題が原因となって、昇格した特権で任意のコードが実行されてしまう可能性もあります。
Bug 6916392では、Web ServerのHTTP TRACE機能で発生するヒープ・オーバーフローの問題について説明します。この問題により、権限のないリモート・ユーザーがWeb Serverをクラッシュさせ、サービス拒否(DoS)の状況を作り出すことができる可能性があります。これらの問題が悪用され、機密情報への未認可アクセスを許してしまう可能性もあります。
SSL/TLSの脆弱性の修正(CVE-2009-3555)
Web Server 6.1 SP12にはSSL/TLSの再ネゴシエーションに関する脆弱性(http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555
)を軽減するNSS 3.12.5が含まれています。
この脆弱性は、現在のSSL/TLS再ネゴシエーション・プロトコル定義の不備によるものです。Web Server実装のバグではありません。そのような理由により、この脆弱性に対する実装レベルの修正は提供されません。Web Serverを攻撃から守るための唯一の回避策は、再ネゴシエーションを完全に無効化することです。
したがって、Web Server 6.1 SP12ではSSL/TLS再ネゴシエーションのすべての使用が無効になっています。クライアントまたはWeb Serverのどちらかが既存のSSL/TLSセッションで再ネゴシエーションをトリガーしようとすると、接続は失敗します。
SSL/TLS接続が最初に確立された後、しばらく時間がたってからクライアント証明書を取得する目的には、再ネゴシエーションを使用するのが一般的でした。現在では、Webアプリケーションがこの方法でクライアント証明書を取得しようとしても失敗します。
初期の接続ハンドシェイクの間にクライアント証明書を取得する処理は、現在も正常に機能します。このモードは、server.xml
でclient-auth
要素をrequiredに設定することによって構成できます。
<http-listener> <ssl> <client-auth>required</client-auth> </ssl> </http-listener>