Japan
サイト内の現在位置を表示しています。
Apache Tomcat の複数の脆弱性に対するアップデート
掲載番号:NV18-016
脆弱性情報識別番号:JVNVU#90416738
概要
Apache Tomcat Native Connector には、下記の脆弱性が存在します。
- UTF-8 デコーダにおける補助文字の取り扱い不備により、デコーダが無限ループとなる (CVE-2018-1336)
- コネクタ NIO/NIO2 におけるコネクションの管理不備 (CVE-2018-8037)
- WebSocket クライアントの TLS 接続において、ホスト名が検証されない (CVE-2018-8034)
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
- 既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
- 中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)
対象製品
CONNEXIVE Platform
影響の有無
影響あり
対象となる製品のバージョン
- CONNEXIVE Platform V7.0
対処方法
WebOTX Application Server をアップデートしてください。
WebOTX Application Server のパッチ入手に関しては、以下にお問い合わせください。
info-webotx@isd.jp.nec.com
WebOTX Application Server のパッチ入手に関しては、以下にお問い合わせください。
info-webotx@isd.jp.nec.com
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
- ESMPRO/ServerManager Ver.6.31
対処方法
SimpWright
影響の有無
影響あり
対象となる製品のバージョン
- SimpWright/V6
- SimpWright/V7
- SimpWright/V7
対処方法
Apache Tomcat をベンダが提供する修正済みのバージョンにアップデートしてください。
SystemDirector Enterprise Asset Innovation Suite
影響の有無
影響あり
対象となる製品のバージョン
- Version 2.0 および 3.0
対処方法
Apache Tomcat 8.5.32 以上のバージョンにアップデートしてください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
製品名 : SystemDirector Enterprise for Java
対象モデル: JSF拡張モデル
バージョン: V10.1
対処方法
Apache Tomcat 8.5.32 以上のバージョンにアップデートしてください。
WebSAM Application Navigator
影響の有無
影響あり
対象となる製品のバージョン
- Version 4.1.2.1 以降
対処方法
- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。
WebSAM MCOperations
影響の有無
影響あり
対象となる製品のバージョン
- Version 6.3.0.0 以降
対処方法
- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。
WebSAM SystemManager
影響の有無
影響あり
対象となる製品のバージョン
- Version 6.3.0.0 以降
対処方法
- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。
WebSAM SystemManager G
影響の有無
影響あり
対象となる製品のバージョン
- Version 7.0 以降
対処方法
- SystemManager G 7.0/7.1:
Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。
- SystemManager G 8.0:
Apache Tomcat 8.5.32 以上にバージョンにアップデートしてください。
InfoCage セキュリティリスク管理
影響の有無
影響あり
対象となる製品のバージョン
- InfoCage セキュリティリスク管理 Ver.2.1.5~2.1.8の
統合サーバ(新プラットフォーム)
統合サーバ(新プラットフォーム)
対処方法
詳細は、PPサポートまでお問い合わせください。
IoT共通基盤
影響の有無
影響あり
対象となる製品のバージョン
- IoT共通基盤 Ver.8系
対処方法
IoT共通基盤をアップデートしてください。
PPサポートにTomcatを最新化したパッチを公開しています。
PPサポートにTomcatを最新化したパッチを公開しています。
iStorage HSシリーズ
影響の有無
影響あり
対象となる製品のバージョン
- iStorage HSシリーズ Version:V4.4~V5.2
対処方法
V5.5以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
- WebOTX Application Server Express V9.1~V9.4
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
- WebOTX Application Server Express V10.1
- WebOTX Application Server Standard V10.1
- WebOTX Developer V10.1
- WebOTX Portal V10.1
- WebOTX Enterprise Service Bus V10.1
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
- WebOTX Application Server Express V10.1
- WebOTX Application Server Standard V10.1
- WebOTX Developer V10.1
- WebOTX Portal V10.1
- WebOTX Enterprise Service Bus V10.1
対処方法
本件の問題に対応する累積パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートトータルにお問い合わせください。
https://www.support.nec.co.jp/PSHome.aspx
詳細は下記URLを参照してください。
https://support.pf.nec.co.jp/View.aspx?id=3010102745
急ぎでパッチが必要な場合は、NECサポートトータルにお問い合わせください。
https://www.support.nec.co.jp/PSHome.aspx
詳細は下記URLを参照してください。
https://support.pf.nec.co.jp/View.aspx?id=3010102745
UNIVERGE 3C
影響の有無
影響あり
対象となる製品のバージョン
- Unified Communication Manager (UCM) v9.1.2
対処方法
UCM v9.1.3 にアップデートしてください。詳細につきましては弊社営業にお問合せください。
EnterpriseIdentityManager
影響の有無
影響あり
対象となる製品のバージョン
- Ver8.0~8.2
対処方法
Apache Tomcatのバージョンアップが必要です。
詳細は、PPサポートまでお問い合わせください。
詳細は、PPサポートまでお問い合わせください。
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
- NCSPエージェント V1.0~V2.0.5.4、V2.1.0.0~V2.2.1.3
対処方法
- V2.0.6.0、V3.0にて対処済みです。
WebSAM vDC Automation
影響の有無
影響あり
対象となる製品のバージョン
- Version:vDCA v5.0以前
※v6.0同梱Tomcatは対処済みバージョンです。
※v6.0同梱Tomcatは対処済みバージョンです。
対処方法
Tomcatのバージョンアップ、もしくはvDCA v6.0/v6.1へのバージョンアップを行ってください。
参考情報
Japan Vulnerability Notes JVNVU#90416738
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90416738/
The Apache Software Foundation
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.8
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.31
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.52
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.88
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90
CVE-2018-1336, CVE-2018-8034, CVE-2018-8037
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1336
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8034
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8037
更新情報
- 2023/09/01
- 2022/04/15
- 2021/02/15
- 2020/02/19
-
UNIVERGE 3Cを登録しました。
- 2019/11/20
- 2019/07/05
- 2019/01/31
- 2018/09/21