Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat にセキュリティ制限回避の脆弱性

掲載番号:NV17-015
脆弱性情報識別番号:JVNVU#95420726

概要

The Apache Software Foundation から、Apache Tomcat に関する次の脆弱性に対するアップデートが公開されました。

  • エラーページ処理に関するセキュリティ制限回避の脆弱性 (CVE-2017-5664)

 

対象製品

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

  • Windows版 ESMPRO/ServerManager Ver.6.16以前
  • Linux版 ESMPRO/ServerManager Ver.6.04以前

 

対処方法

[対策]
  • Windows版
    本脆弱性に対策済みの Apache Tomcat を同梱した ESMPRO/ServerManager Ver.6.23 以降にアップデートしてください。
  • Linux版
    対応をご希望される場合、個別に対応させていただきます。
    詳細については弊社営業へお問い合わせください。


MailShooter

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

  • SimpWright-V6
  • SimpWright-V7

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SpoolServer/Winspoolシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • ReportFiling Ver5.2~6.2

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

WebOTX

影響の有無

影響あり

次の条件に全て合致する場合、本脆弱性の影響を受ける可能性があります。
  • {ドメインディレクトリ}/config/default-web.xmlもしくは各Webアプリケーションのweb.xmlにて、以下のようにDefaultServletに対してreadonlyをfalseにする設定を追加している(デフォルトはtrue)
 <servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    ・・・
    <init-param>
        <param-name>readonly</param-name>
        <param-value>false</param-value>
    </init-param>
    ・・・
</servlet>
  • エラー画面を静的ファイルでカスタマイズしている
 (例)
<error-page>
    <exception-type>java.lang.Exception</exception-type>
    <location>/custom_error.html</location>
</error-page>

対象となる製品のバージョン

  • WebOTX Web Edition V5.2~V5.3
  • WebOTX Standard-J Edition V5.2~V5.3
  • WebOTX Standard Edition V5.2~V5.3
  • WebOTX Enterprise Edition V5.2~V5.3
  • WebOTX UDDI Registry V2.1

  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Standard-J Edition V6.1~V6.5
  • WebOTX Standard Edition V6.2~V6.5
  • WebOTX Enterprise Edition V6.2~V6.5
  • WebOTX 開発環境 V6.1~V6.5
  • WebOTX UDDI Registry V3.1~V3.5
  • WebOTX Enterprise Service Bus V6.4~V6.5

  • WebOTX Application Server Web Edition V7.1
  • WebOTX Application Server Standard-J Edition V7.1
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX Developer V7.1
  • WebOTX UDDI Registry V7.1
  • WebOTX Enterprise Service Bus V7.1

  • WebOTX Application Server Web Edition V8.1
  • WebOTX Application Server Standard-J Edition V8.1
  • WebOTX Application Server Express V8.2~V8.5
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V8.5
  • WebOTX Application Server Enterprise V8.2~V8.5
  • WebOTX Developer V8.1~V8.5
  • WebOTX Portal V8.2~V8.4
  • WebOTX Enterprise Service Bus V8.1~V8.5

  • WebOTX Application Server Express V9.1~V9.4
  • WebOTX Application Server Standard V9.2~9.4
  • WebOTX Application Server Enterprise V9.2~9.5
  • WebOTX Developer V9.1~V9.5
  • WebOTX Portal V9.1~V9.3
  • WebOTX Enterprise Service Bus V9.2~V9.3

対処方法

[対策]
  • パッチを適用する
パッチの公開時期は現在検討中です。詳細は下記URLでご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010102312

[回避策]
  • DefaultServletのreadonlyパラメータをtrueに設定する

 

WebSAM Application Navigator

影響の有無

影響あり

WebAPI機能を利用する場合、本脆弱性の影響を受ける可能性があります。

対象となる製品のバージョン

  • Ver 4.2.0.1 以降

 

対処方法

[対策]
Apache Tomcat Ver 8.0.44 以降にアップデートしてください。

WebSAM MCOperations

影響の有無

影響あり

対象となる製品のバージョン

  • Ver 4.2.1.0 以降

 

対処方法

[対策]
Apache Tomcat Ver 8.0.44 以降にアップデートしてください。

WebSAM SystemManager

影響の有無

影響あり

WebAPI機能を利用する場合、本脆弱性の影響を受ける可能性があります。

対象となる製品のバージョン

  • Ver 6.2.1.0 以降

 

対処方法

[対策]
Apache Tomcat Ver 8.0.44 以降にアップデートしてください。

参考情報

Japan Vulnerability Notes JVNVU#95420726
Apache Tomcat にセキュリティ制限回避の脆弱性
http://jvn.jp/vu/JVNVU95420726/

CVE-2017-5664:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664

更新情報

2018/04/27
ESMPRO/ServerManager を登録しました。
2018/03/23
WebOTX を更新しました。
2018/02/05
WebOTX を登録しました。
2017/09/29
WebSAM Application Navigator、WebSAM MCOperations、WebSAM SystemManager を登録しました。
2017/07/21
MailShooter、SimpWright 、SpoolServer/Winspool シリーズを登録しました。