Apache Tomcatの脆弱性(CVE-2024-38286、CVE-2024-46544)がProselfに与える影響について(更新)
-
2024/09/25
2024/09/26 更新
平素はProselfをご利用いただき、誠にありがとうございます。
2024/09/23に公表されたApache Tomcatの脆弱性(CVE-2024-38286、CVE-2024-46544)につきまして、弊社製品Proselfに与える影響を調査しましたところ、一部影響を受ける脆弱性があることを確認しております。
なお、CVE-2024-38286は弊社エンジニアが発見し、脆弱性としてTomcatセキュリティチームに報告を行っています。
各脆弱性における調査結果は以下の通りです。
-
CVE-2024-38286
TLS1.3を用いたhttps通信時において、特定の条件を満たした場合にメモリが開放されずメモリ不足(OutOfMemoryエラー)が発生します。
※SSLアクセラレーターやSSLアクセラレーター機能を持つ負荷分散装置等の機器を経由してProselfにアクセスするような環境の場合は、Proselfでhttps通信を処理しないため本脆弱性の影響はございません。
-
CVE-2024-46544
ProselfではTomcatJK Connector(mod_jk)は使用していないため、本脆弱性の影響はございません。
CVE-2024-38286につきましては、本脆弱性の対応が含まれたApache Tomcatを同梱したProself Ver5.71を2024/09/26にリリースいたしましたので、該当するお客様におかれましては大変お手数ですがProself Ver5.71へアップデートを実施くださいますようお願い申し上げます。
アップデート手順につきましては以下URLで公開しているチュートリアルに記載しておりますので、ダウンロードの上ご確認ください。
https://www.proself.jp/manualtutorial/list/#version5
※Proself Ver.5 > 操作チュートリアルアップデート > 操作チュートリアルアップデート管理者編 が該当いたします。
なお、すぐにProself Ver5.71にアップデートすることが難しいお客様におかれましては、お手数をおかけてして誠に申し訳ありませんが、以下手順でTLS1.3を無効化することで暫定的に回避くださいますようお願い申し上げます。
-
Proselfのサービスを停止します。
-
Proselfインストールフォルダ/conf/server.xmlのバックアップを取得します。
※バックアップファイル名はserver.xml.bakcup.20240924等、末尾が.xmlとならないようにしてください。
-
Proselfインストールフォルダ/conf/server.xmlを以下内容で編集します。
Ver5.50以上とVer5.50未満で編集内容が異なります。
-
Ver5.50以上
92行目付近にある「protocols="~"」から「+TLSv1.3」を削除します。
【編集前】
<SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2+TLSv1.3"
※ご利用のバージョンによって「protocols="~"」の内容が異なる場合がございます。
【編集後】
<SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2"
-
Ver5.50未満
91行目行目付近にある「sslEnabledProtocols="~"」から「,TLSv1.3」を削除します。
【編集前】
clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
※ご利用のバージョンによって「sslEnabledProtocols="~"」の内容が異なる場合がございます。
【編集後】
clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
-
Ver5.50以上
-
Proselfのサービスを起動します。
以上で完了です。
-
CVE-2024-38286