ページの本文へ

Hitachi

JP1製品におけるRangeヘッダによるDoS脆弱性

2012.03.07 更新

JP1製品にRangeヘッダによるDoS脆弱性(CVE-2011-3192)が存在します。

脆弱性ID

HS11-021

脆弱性の内容

特定のRangeヘッダを含むHTTPリクエストを受信すると高負荷状態やメモリ使用量が増加し,無応答状態となる場合があります。

影響を受けるバージョンを下記に示しますので,対策版の適用または,下記[回避策]による回避をお願いいたします。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム
脆弱性が含まれるバージョン

対象製品名 : JP1/Automatic Job Management System 3 - Web Operation Assistant

対象バージョン :

Windows Server 2003
09-00 - 09-00-04, 09-50 - 09-50-02
Windows Server 2008
09-00 - 09-00-04, 09-50 - 09-50-02

対象製品名 : JP1/Automatic Job Management System 2 - Web Operation Assistant

対象バージョン :

Windows Server 2008
08-50 - 08-50-03

対象製品名 : Job Management Partner 1/Automatic Job Management System 3 - Web Operation Assistant(英語版)

対象バージョン :

Windows Server 2003
09-00 - 09-00-03
Windows Server 2008
09-00 - 09-00-03

対象製品名 : JP1/Integrated Management - Service Support

対象バージョン :

Windows
09-00 - 09-00-04, 09-50

対象製品名 : JP1/Performance Management - Web Console

対象バージョン :

Windows Server 2003
09-00 - 09-00-11, 09-10 - 09-10-08, 09-50
Windows Server 2008
08-50 - 08-50-12, 09-00 - 09-00-11, 09-10 - 09-10-08, 09-50
Linux
09-00 - 09-00-11, 09-10 - 09-10-07, 09-50
Solaris
09-00 - 09-00-11, 09-10 - 09-10-07, 09-50
AIX
09-00 - 09-00-11, 09-10 - 09-10-09, 09-50
HP-UX
09-00 - 09-00-11, 09-10 - 09-10-07, 09-50

対象製品名 : Job Management Partner 1/Performance Management - Web Console(海外版)

対象バージョン :

Windows Server 2003
09-00 - 09-00-01
Windows Server 2008
09-00
Linux
09-00

対象製品名 : JP1/Performance Management - Manager Web Option(*1)

対象バージョン :

Windows
07-54
Solaris
07-54

対象製品名 : JP1/Cm2/SNMP System Observer

対象バージョン :

Windows
09-00 - 09-00-09, 09-10 - 09-10-06, 09-50 - 09-50-01
Linux
09-00 - 09-00-09, 09-10 - 09-10-06, 09-50 - 09-50-01
Solaris
09-00 - 09-00-09, 09-10 - 09-10-06, 09-50 - 09-50-01
HP-UX
09-00 - 09-00-09, 09-10 - 09-10-06, 09-50 - 09-50-01

対象製品名 : JP1/IT Resource Management - Manager

対象バージョン :

Windows
09-10 - 09-10-03, 09-11 - 09-11-04, 09-50 - 09-50-01

対象製品名 : JP1/ServerConductor/Control Manager

対象バージョン :

Windows Server 2008
08-55, 08-60 - 08-60-08

対象製品名 : JP1/IT Service Level Management - Manager

対象バージョン :

Windows
09-50
*1
本バージョンをお使いの方は,後継製品へのバージョンアップをお願いいたします。

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム
脆弱性の対策バージョン 対策版提供日

対象製品名 : JP1/Automatic Job Management System 3 - Web Operation Assistant

対策バージョン :

Windows Server 2003
09-00-05 2012.02.27
09-50-03 2012.02.28
Windows Server 2008
09-00-05 2012.02.27
09-50-03 2012.02.28

対象製品名 : JP1/Automatic Job Management System 2 - Web Operation Assistant

対策バージョン :

Windows Server 2008
08-50-04 2012.02.28

対象製品名 : Job Management Partner 1/Automatic Job Management System 3 - Web Operation Assistant(英語版)

対策バージョン :

Windows Server 2003
09-00-05 2012.02.27
Windows Server 2008
09-00-05 2012.02.27

対象製品名 : JP1/Integrated Management - Service Support

対策バージョン :

Windows
09-00-05 2011.11.14
09-50-01 2011.11.01

対象製品名 : JP1/Performance Management - Web Console

対策バージョン :

Windows Server 2003
09-50-01 2011.12.28
Windows Server 2008
09-50-01 2011.12.28
Linux
09-50-01 2011.12.28
Solaris
09-50-01 2011.12.28
AIX
09-50-01 2011.12.28
HP-UX
09-50-01 2011.12.28

対策版準備中 :

Windows Server 2003
09-00-12
09-10-10
Windows Server 2008
08-50-13
09-00-12
09-10-10
Linux
09-00-12
09-10-10
Solaris
09-00-12
09-10-10
AIX
09-00-12
09-10-10
HP-UX
09-00-12
09-10-10

対象製品名 : Job Management Partner 1/Performance Management - Web Console(海外版)

対策版準備中 :

Windows Server 2003
09-00-02
Windows Server 2008
09-00-02
Linux
09-00-02

対象製品名 : JP1/Cm2/SNMP System Observer

対策バージョン :

Windows
09-10-07 2011.12.06
09-50-02 2011.12.06
Linux
09-10-07 2011.12.26
09-50-02 2011.12.26
Solaris
09-10-07 2011.12.26
09-50-02 2011.12.26
HP-UX
09-10-07 2011.12.26
09-50-02 2011.12.26

対象製品名 : JP1/IT Resource Management - Manager

対策バージョン :

Windows
09-50-02 2012.02.06

対策版準備中 :

Windows
09-11-05

対象製品名 : JP1/ServerConductor/Control Manager

対策版準備中 :

Windows Server 2008
08-60-09

対象製品名 : JP1/IT Service Level Management - Manager

対策バージョン :

Windows
09-51 2011.12.26

セキュリティ対策版は改良版にて提供いたします。
「改良版の提供について」のWebページをご参照いただき,手順に従ってご入手ください。
(改良版の入手にはサポートサービスの契約が必要です)

回避策

この脆弱性に対して下記の回避策があります。対策版を適用するまでの間,回避策を実施していただくようお願いいたします。
また,httpsd.confファイルの編集およびサービスの再起動が必要となります。各製品のhttpsd.confファイルの格納場所を確認の上,対処していただくようお願いいたします。

<httpsd.confファイルの格納場所>
Windows版の場合

JP1/Automatic Job Management System 3 - Web Operation Assistant
JP1/Automatic Job Management System 2 - Web Operation Assistant
Job Management Partner 1/Automatic Job Management System 3 - Web Operation Assistant
<インストールディレクトリ>\uCPSB\httpsd\conf\httpsd.conf
JP1/Integrated Management - Service Support
<インストールディレクトリ>\uCPSB\httpsd\conf\httpsd.conf
JP1/Performance Management - Web Console
Job Management Partner 1/Performance Management - Web Console
<インストールディレクトリ>\CPSB\httpsd\conf\httpsd.conf
JP1/Performance Management - Manager Web Option
<共通コンポーネントのインストールディレクトリ>\Base\httpsd\conf\httpsd.conf
JP1/Cm2/SNMP System Observer
<インストールディレクトリ>\uCPSB\httpsd\conf\httpsd.conf
JP1/IT Resource Management - Manager
<インストールディレクトリ>\JP1ITRM\system\httpsd\conf\httpsd.conf
JP1/ServerConductor/Control Manager
<インストールディレクトリ>\CMCosmi\httpsd\conf\httpsd.conf
JP1/IT Service Level Management - Manager
<インストールディレクトリ>\mgr\system\psb\httpsd\conf\httpsd.conf

UNIX版またはLinux版の場合

JP1/Performance Management - Web Console
Job Management Partner 1/Performance Management - Web Console
/opt/jp1pcwebcon/CPSB/httpsd/conf/httpsd.conf
JP1/Performance Management - Manager Web Option
/opt/HiCommand/Base/httpsd/conf/httpsd.conf
JP1/Cm2/SNMP System Observer
/opt/CM2/SSO/uCPSB/httpsd/conf/httpsd.conf
httpsd.confファイルの最下行に追加し,該当製品のサービスを再起動してください。
再起動方法については,該当製品のマニュアルをご参考ください。

  Windows版: 
    LoadModule headers_module modules/mod_headers.so
    RequestHeader unset Range
    RequestHeader unset Request-Range

  UNIX版またはLinux版: 
    LoadModule headers_module libexec/mod_headers.so
    RequestHeader unset Range
    RequestHeader unset Request-Range

上記設定により,クライアントからのリクエストヘッダに含まれるRangeヘッダ及びRequest-Rangeヘッダが削除され,処理を継続します。

更新履歴

2012.03.07
[対策版の提供]を更新しました。
2012.02.09
[対策版の提供]を更新しました。
2012.01.31
[対策版の提供]を更新しました。
2012.01.10
[対象製品], [対策版の提供]を更新しました。
2011.09.30
このセキュリティ情報ページを新規作成および発信しました。
  • 弊社では,セキュリティ対応に関して正確な情報を提供するよう努力しておりますが,セキュリティ問題に関する情報は変化しており,当ホームページで記載している内容を予告なく変更することがありますので,あらかじめご了承ください。情報ご参照の際には,常に最新の情報をご確認いただくようお願いします。
  • 当ホームページに記載されている製品には,他社開発製品が含まれております。これらのセキュリティ情報については他社から提供,または公開された情報を基にしております。弊社では,情報の正確性および完全性について注意を払っておりますが,開発元の状況変化に伴い,当ホームページの記載内容に変更が生じることがあります。
  • 当ホームページはセキュリティ情報の提供を目的としたものであり,法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして,弊社では責任を負いかねます。
  • 当ホームページから他サイトのページへのリンクアドレスは情報発信時のものです。他サイトでの変更などを発見した場合には,リンク切れ等にならないように努力はいたしますが,永続的にリンク先を保証するものではありません。