当サイトでは、サービス向上、アクセス状況計測、広告配信などのためにクッキーを使用しています。個人情報保護について

Japan

BluStellar(ブルーステラ)

製品・ソリューション

  • セキュリティ

    NECは、「正しくつくる」「正常をつづける」「攻撃からまもる」の3つの軸で、お客様のビジネスの信頼性向上・生産性向上・事業拡大につながるご支援をしていきます。

関連リンク

業種・業務

関連リンク

企業情報

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

Apache Tomcat における情報漏えいの脆弱性

掲載番号:NV09-008
脆弱性情報識別番号:IPA#63832775

概要

Apache Tomcatには、特定のメソッドを利用したアプリケーションにおいて、WEB-INFディレクトリ配下の情報が漏えいする脆弱性が存在します。

対象製品

InfoFrame DocumentSkipper

影響の有無

影響あり

対象となる製品のバージョン


対象製品 同封コンポーネント
DocumentSkipper Ver3.0~Ver3.2 Tomcat 5.0.28
DocumentSkipper/PC Ver4.0 Tomcat 5.0.28
DocumentSkipper/Mobile Ver4.0 Tomcat 5.0.28
InfoFrame DocumentSkipper/PC V4.1 Tomcat 5.0.28
InfoFrame DocumentSkipper/Mobile V4.1 Tomcat 5.0.28
InfoFrame DocumentSkipper V5.1 Tomcat 6.0.16
InfoFrame DocumentSkipper Mobile V5.1 Tomcat 6.0.16

対処方法

[対策]
Apache Tomcat、DocumentSkipper関連モジュールをアップデートする必要があります。
詳細につきましては弊社営業にお問合せください。

MCOne

影響の有無

影響あり

対象となる製品のバージョン

  • MCOne V4.9.x

 

MCOne V4.9のMCOneサーバではApache Tomcat 5.5.20を利用しており、本脆弱性を内在させています。

ただし、MCOneサーバはMCOne内部の制御のみに利用しており、また、MCOneサーバ上で動作させるMCOneが提供するWebアプリケーションは本脆弱性の影響を受けるメソッドは利用していないため、通常の利用範囲においては影響がありません。

尚、MCOne V4.9.x以外のバージョンでは本脆弱性の影響はありません。


対処方法

[対策]
下記いずれかの対処を行ってください。
(1) MCOneサーバ上では、MCOneが提供するWebアプリケーション以外を稼動させないでください。
(2) MCOneサーバを外部ネットワークに公開しないでください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V6.x
  • WebOTX Standard-J Edition V6.x
  • WebOTX Standard Edition V6.x
  • WebOTX Enterprise Edition V6.x
  • WebOTX Application Server Web Edition V7.x~V8.1
  • WebOTX Application Server Standard-J Edition V7.x~V8.1
  • WebOTX Application Server Standard Edition V7.x~V8.1
  • WebOTX Application Server Enterprise Edition V7.x~V8.1
  • WebOTX UDDI Registry V1.1~V7.1
  • WebOTX 開発環境 V6.x
  • WebOTX Developer V7.x~V8.1
  • WebOTX Enterprise Service Bus V6.4~V7.x
  • WebOTX SIP Application Server Standard Edition V7.x~V8.1

対処方法

[対策]
別途パッチを用意しております。詳細につきましては弊社営業にお問合せください

WebSAM SECUREMASTER

影響の有無

影響あり

対象となる製品のバージョン

  • SECUREMASTER/MB V4.x
  • SECUREMASTER/ACS V5.0x

対処方法

[対策]
脆弱性へ対処するためにはTomcat6.0.20以降へのバージョンアップが必要となります。
※4.1系、5.5系は2009年6月9日時点で脆弱性対処されたバージョンがございません。

現在、SECUREMASTER/ACSの媒体に添付しているマニュアルにはポータル機能利用時にTomcat6.0.18のご利用を案内しておりますが、この度の脆弱性情報の公開に伴い、Tomcat6.0.20上でのポータル機能のご利用を保証すると同時に推奨いたします。

参考情報

InfoFrame DocumentSkipper-Apache Tomcat、JDKの脆弱性に関する情報:
http://www.nec.co.jp/pfsoft/documentskipper/documentskipper_apache.html

WebOTX Web コンテナ:Apache Tomcatにおいて特定ディレクトリ配下の内部情報が漏えいする脆弱性について:
http://www.nec.co.jp/WebOTX/module/webinf_090915.html

Japan Vulnerability Notes JVN#63832775:
Apache Tomcat における情報漏えいの脆弱性
https://jvn.jp/jp/JVN63832775/index.html

CVE CVE-2008-5515:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5515

更新情報

2016/10/31
ページをリニューアル。NEW
WebOTX を登録しました。NEW
2010/04/25
InfoFrame DocumentSkipper、MCOne を登録しました。NEW
2010/01/27
WebSAM SECUREMASTER を登録しました。NEW
2009/07/08
新規登録しました。 NEW

Escキーで閉じる 閉じる