Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Apache Tomcatのフォーム認証機能におけるセッションにリクエストを挿入される脆弱性

掲載番号:NV14-004
脆弱性情報識別番号:CVE-2013-2067

概要

Apache Tomcatのフォーム認証機能には、認証要求とセッション間の関係を適切に処理しないため、セッションにリクエストを挿入される脆弱性が存在します。

攻撃者により、変則的なセッション固定攻撃 (session fixation attack) によって、ログインフォームの終了中にリクエストを送信されることで、セッションにリクエストを挿入される可能性があります。

対象製品

InfoCage PCセキュリティ

影響の有無

影響あり

ログサーバに使用しているApache Tomcatに影響があります。

対象となる製品のバージョン

InfoCage PCセキュリティ　全バージョン

対処方法

[対策]

2013年10月8日にリリースしたInfoCage PCセキュリティVer1.6で対応完了しています。

PPサポートサービス契約ユーザ様は無償でバージョンアップが可能です。

必要な場合は、PPサポートサービス窓口にてInfoCage PCセキュリティVer1.6の型番を指定し、バージョンアップ依頼をお願い致します。

InfoCage PCセキュリティ - 重要なお知らせ:

Apache Tomcatv6.0.37で発見された脆弱性について:

http://jpn.nec.com/infocage/pc_security/importance/news130723.html

WebOTX

影響の有無

影響あり

リモートの攻撃者によってセッションを奪われ、セキュリティ制限を迂回される可能性があります。

対象となる製品のバージョン

WebOTX Developer V8.4
WebOTX Application Server Express V8.4～V8.5
WebOTX Application Server Foundation V8.4～V8.5
WebOTX Application Server Standard V8.4～V8.5
WebOTX Application Server Enterprise V8.4～V8.5
WebOTX Enterprise Service Bus V8.4～V8.5
WebOTX Portal V8.4

Webアプリケーションの実装によりセッション固定攻撃の対策を実装している場合は影響ありません。

対処方法

[対策]

パッチモジュールを製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

WebOTX V8.41
https://www.support.nec.co.jp/View.aspx?id=9010102118

WebSAM Storage VASA Provider

影響の有無

影響あり

対象となる製品のバージョン

WebSAM Storage VASA Provider V1.1.001

対処方法

[対策]

WebSAM Storage VASA Provider V1.1.002へアップデートしてください。

以下URLの「ダウンロード」のリンクから無償でモジュールをダウンロードできます。

https://www.support.nec.co.jp/View.aspx?id=3140100917

WebSAM Storage VMware vCenter Plug-in

影響の有無

影響あり

対象となる製品のバージョン

WebSAM Storage VMware vCenter Plug-in V1.2.001
WebSAM Storage VMware vCenter Plug-in V1.1.001

対処方法

[対策]

WebSAM Storage VMware vCenter Plug-in V1.2.002へアップデートしてください。

以下URLの「ダウンロード」のリンクから無償でモジュールをダウンロードできます。

https://www.support.nec.co.jp/View.aspx?id=3140100633

WebSAM Storage VMware vSphere Web Client Plug-in

影響の有無

影響あり

対象となる製品のバージョン

WebSAM Storage VMware vSphere Web Client Plug-in V1.1

対処方法

[対策]

WebSAM Storage VMware vSphere Web Client Plug-in V2.1へアップデートしてください。

以下URLの「ダウンロード」のリンクから無償でモジュールをダウンロードできます。

https://www.support.nec.co.jp/View.aspx?id=3140101310

参考情報

JVN iPedia JVNDB-2013-002859:

Apache Tomcat のフォーム認証機能におけるセッションにリクエストを挿入される脆弱性

http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-002859.html

CVE-2013-2067:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2067

更新情報

2016/07/08: WebOTX を登録しました。
2014/12/09: InfoCage PCセキュリティを登録しました。
2014/04/28: WebSAM Storage VASA Providerを登録しました。
: WebSAM Storage VMware vCenter Plug-inを登録しました。
: WebSAM Storage VMware vSphere Web Client Plug-inを登録しました。