Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV18-016
脆弱性情報識別番号:JVNVU#90416738

概要

Apache Tomcat Native Connector には、下記の脆弱性が存在します。

  • UTF-8 デコーダにおける補助文字の取り扱い不備により、デコーダが無限ループとなる (CVE-2018-1336)
  • コネクタ NIO/NIO2 におけるコネクションの管理不備 (CVE-2018-8037)
  • WebSocket クライアントの TLS 接続において、ホスト名が検証されない (CVE-2018-8034)

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  • サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
  • 既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
  • 中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)

対象製品

CONNEXIVE Platform

影響の有無

影響あり

対象となる製品のバージョン

  • CONNEXIVE Platform V7.0


対処方法

WebOTX Application Server をアップデートしてください。
WebOTX Application Server のパッチ入手に関しては、以下にお問い合わせください。
info-webotx@isd.jp.nec.com

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

  • SimpWright/V6
  • SimpWright/V7

 

対処方法

Apache Tomcat をベンダが提供する修正済みのバージョンにアップデートしてください。

SystemDirector Enterprise Asset Innovation Suite

影響の有無

影響あり

対象となる製品のバージョン

  • Version 2.0 および 3.0

 

対処方法

Apache Tomcat 8.5.32 以上のバージョンにアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

  •  製品名       SystemDirector Enterprise for Java

     対象モデル: JSF拡張モデル

     バージョン: V10.1

 

対処方法

Apache Tomcat 8.5.32 以上のバージョンにアップデートしてください。

WebSAM Application Navigator

影響の有無

影響あり

対象となる製品のバージョン

- Version 4.1.2.1 以降

対処方法

- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。

WebSAM MCOperations

影響の有無

影響あり

対象となる製品のバージョン

- Version 6.3.0.0 以降

対処方法

- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。

WebSAM SystemManager

影響の有無

影響あり

対象となる製品のバージョン

- Version 6.3.0.0 以降

対処方法

- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。

WebSAM SystemManager G

影響の有無

影響あり

対象となる製品のバージョン

- Version 7.0 以降

対処方法

- SystemManager G 7.0/7.1:
    Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。
 - SystemManager G 8.0:
    Apache Tomcat 8.5.32 以上にバージョンにアップデートしてください。

参考情報

Japan Vulnerability Notes JVNVU#90416738
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90416738/

The Apache Software Foundation
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.8
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.31
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.52
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.88
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90


CVE-2018-1336, CVE-2018-8034, CVE-2018-8037
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1336
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8034
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8037

 

更新情報

2019/01/31
CONNEXIVE Platform を登録しました。
2018/12/14
WebSAM Application Navigator, WebSAM MCOperations, WebSAM SystemManager, WebSAM SystemManager G を登録しました。
2018/09/21
SystemDirector Enterprise を登録しました。
2018/09/03
SimpWright を登録しました。
SystemDirector Enterprise Asset Innovation Suite を登録しました。