Japan
サイト内の現在位置を表示しています。
Apache Tomcat にセキュリティ制限回避の脆弱性
掲載番号:NV17-015
脆弱性情報識別番号:JVNVU#95420726
概要
The Apache Software Foundation から、Apache Tomcat に関する次の脆弱性に対するアップデートが公開されました。
- エラーページ処理に関するセキュリティ制限回避の脆弱性 (CVE-2017-5664)
対象製品
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
- Windows版 ESMPRO/ServerManager Ver.6.16以前
- Linux版 ESMPRO/ServerManager Ver.6.04以前
対処方法
[対策]
- Windows版
本脆弱性に対策済みの Apache Tomcat を同梱した ESMPRO/ServerManager Ver.6.23 以降にアップデートしてください。 - Linux版
対応をご希望される場合、個別に対応させていただきます。
詳細については弊社営業へお問い合わせください。
MailShooter
影響の有無
影響あり
対象となる製品のバージョン
- 全バージョン
対処方法
[対策]
Apache Tomcat の最新版へアップデートしてください。
SimpWright
影響の有無
影響あり
対象となる製品のバージョン
- SimpWright-V6
- SimpWright-V7
対処方法
[対策]
Apache Tomcat の最新版へアップデートしてください。
SpoolServer/Winspoolシリーズ
影響の有無
影響あり
対象となる製品のバージョン
- ReportFiling Ver5.2~6.2
対処方法
[対策]
Apache Tomcat の最新版へアップデートしてください。
WebOTX
影響の有無
影響あり
次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
- {ドメインディレクトリ}/config/default-web.xmlもしくは各Webアプリケーションのweb.xmlにて、以下のようにDefaultServletに対してreadonlyをfalseにする設定を追加している(デフォルトはtrue)
| <servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> ・・・ <init-param> <param-name>readonly</param-name> <param-value>false</param-value> </init-param> ・・・ </servlet> |
- エラー画面を静的ファイルでカスタマイズしている
| (例) <error-page> <exception-type>java.lang.Exception</exception-type> <location>/custom_error.html</location> </error-page> |
対象となる製品のバージョン
- WebOTX Web Edition V5.2~V5.3
- WebOTX Standard-J Edition V5.2~V5.3
- WebOTX Standard Edition V5.2~V5.3
- WebOTX Enterprise Edition V5.2~V5.3
- WebOTX UDDI Registry V2.1
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX 開発環境 V6.1~V6.5
- WebOTX UDDI Registry V3.1~V3.5
- WebOTX Enterprise Service Bus V6.4~V6.5
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Developer V7.1
- WebOTX UDDI Registry V7.1
- WebOTX Enterprise Service Bus V7.1
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX Developer V8.1~V8.5
- WebOTX Portal V8.2~V8.4
- WebOTX Enterprise Service Bus V8.1~V8.5
- WebOTX Application Server Express V9.1~V9.4
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
対処方法
[対策]
- パッチを適用する
パッチの公開時期は現在検討中です。詳細は下記URLでご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010102312
https://www.support.nec.co.jp/View.aspx?id=3010102312
[回避策]
- DefaultServletのreadonlyパラメータをtrueに設定する
WebSAM Application Navigator
影響の有無
影響あり
WebAPI機能を利用する場合、本脆弱性の影響を受ける可能性があります。
WebAPI機能を利用する場合、本脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
- Ver 4.2.0.1 以降
対処方法
[対策]
Apache Tomcat Ver 8.0.44 以降にアップデートしてください。
WebSAM MCOperations
影響の有無
影響あり
対象となる製品のバージョン
- Ver 4.2.1.0 以降
対処方法
[対策]
Apache Tomcat Ver 8.0.44 以降にアップデートしてください。
WebSAM SystemManager
影響の有無
影響あり
WebAPI機能を利用する場合、本脆弱性の影響を受ける可能性があります。
WebAPI機能を利用する場合、本脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
- Ver 6.2.1.0 以降
対処方法
[対策]
Apache Tomcat Ver 8.0.44 以降にアップデートしてください。
iStorage HSシリーズ
影響の有無
影響あり
対象となる製品のバージョン
iStorage HSシリーズ Version:V4.4~V5.2
対処方法
[対策]
V5.5以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
UNIVERGE 3C
影響の有無
影響あり
対象となる製品のバージョン
UNIVERGE 3C UCM V9.0以前のバージョン
対処方法
[対策]
UNIVERGE 3C UCM V9.1にて対応を完了しております。バージョンアップの詳細につきましては弊社営業にお問合せください。
EnterpriseIdentityManager
影響の有無
影響あり(CVE-2017-5647とCVE-2017-5648のみ影響を受けます。)
対象となる製品のバージョン
Ver5.0~8.1
対処方法
[対策]
Apache Tomcatのバージョンアップが必要となります。バージョンアップ手順につきましてはPPサポート窓口へお問い合わせください。
参考情報
Japan Vulnerability Notes JVNVU#95420726
Apache Tomcat にセキュリティ制限回避の脆弱性
https://jvn.jp/vu/JVNVU95420726/
CVE-2017-5664:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
更新情報
- 2021/01/22
- 2020/02/19
- 2019/10/25
- 2018/04/27
- 2018/03/23
- 2018/02/05
