Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV17-017
脆弱性情報識別番号:JVNVU#91991349

概要

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • キャッシュポイズニングの問題 (CVE-2017-7674)
  • HTTP/2 実装における認証回避の脆弱性 (CVE-2017-7675)

 

対象製品

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

  • Windows版 ESMPRO/ServerManager Ver.6.20以前
  • Linux版 ESMPRO/ServerManager Ver.6.04以前

 

対処方法

[対策]
  • Windows版
    本脆弱性に対策済みの Apache Tomcat を同梱した ESMPRO/ServerManager Ver.6.23 以降にアップデートしてください。
  • Linux版
    対応をご希望される場合、個別に対応させていただきます。
    詳細については弊社営業へお問い合わせください。


MailShooter

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

  • SimpWright-V6
  • SimpWright-V7

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SpoolServer/Winspoolシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • ReportFiling Ver5.2~6.2

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

WebOTX

影響の有無

影響あり

CVE-2017-7675 については影響ありません。
CVE-2017-7674 については「CORS Filter」をWebアプリケーションが利用している場合のみ影響を受ける可能性があります。脆弱性に該当する条件の詳細は下記ページにてご確認ください。
http://www.support.nec.co.jp/View.aspx?id=3010102292

対象となる製品のバージョン

  • WebOTX Application Server Express V9.1~V9.5(※)
  • WebOTX Application Server Standard V9.1~V9.5
  • WebOTX Application Server Enterprise V9.1~V9.5
  • WebOTX Developer V9.1~V9.5

(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

 

対処方法

[対策]
今後公開予定のパッチを適用する。
詳細は下記ページにてご確認ください。
http://www.support.nec.co.jp/View.aspx?id=3010102292

[回避策]
「CORS Filter」を利用しないよう設定を変更する。

WebSAM Application Navigator

影響の有無

影響あり

CVE-2017-7674 の影響を受ける可能性があります。

対象となる製品のバージョン

  • Ver 4.1.1.1 以降

 

対処方法

[対策]
Apache Tomcat 8.0.45 にバージョンアップしてください。
バージョンアップ方法については「WebSAM Service Governor インストレーションガイド」を参照ください。

WebSAM MCOperations

影響の有無

影響あり

CVE-2017-7674 の影響を受ける可能性があります。

対象となる製品のバージョン

  • Ver 4.2.1.0 以降

 

対処方法

[対策]
Apache Tomcat 8.0.45 にバージョンアップしてください。
バージョンアップ方法については「WebSAM Service Governor インストレーションガイド」を参照ください。

WebSAM SystemManager

影響の有無

影響あり

CVE-2017-7674 の影響を受ける可能性があります。

対象となる製品のバージョン

  • Ver 6.2.1.0 以降

 

対処方法

[対策]
Apache Tomcat 8.0.45 にバージョンアップしてください。
バージョンアップ方法については「WebSAM Service Governor インストレーションガイド」を参照ください。

WebSAM SystemManager G

影響の有無

影響あり

CVE-2017-7674 の影響を受ける可能性があります。

対象となる製品のバージョン

  • Ver 7.0 以降

 

対処方法

[対策]
Apache Tomcat 8.0.45 にバージョンアップしてください。
バージョンアップ方法については「WebSAM Service Governor インストレーションガイド」を参照ください。

参考情報

Japan Vulnerability Notes JVNVU#91991349:
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU91991349/

CVE-2017-7674, CVE-2017-7675:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7674
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7675

更新情報

2018/04/27
ESMPRO/ServerManager を登録しました。
2018/02/05
WebOTX を更新しました。
2017/12/08
WebOTX、WebSAM Application Navigator、WebSAM MCOperations、WebSAM SystemManager、WebSAM SystemManager G を登録しました。
2017/09/29
MailShooter、SimpWright、SpoolServer/Winspoolシリーズ を登録しました。