Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV18-016
脆弱性情報識別番号:JVNVU#90416738

概要

Apache Tomcat Native Connector には、下記の脆弱性が存在します。

  • UTF-8 デコーダにおける補助文字の取り扱い不備により、デコーダが無限ループとなる (CVE-2018-1336)
  • コネクタ NIO/NIO2 におけるコネクションの管理不備 (CVE-2018-8037)
  • WebSocket クライアントの TLS 接続において、ホスト名が検証されない (CVE-2018-8034)

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  • サービス運用妨害 (DoS) 攻撃が行われる (CVE-2018-1336)
  • 既存のユーザセッションが別の接続に再利用される (CVE-2018-8037)
  • 中間者攻撃 (man-in-the-middle attack) が行われる (CVE-2018-8034)

対象製品

CONNEXIVE Platform

影響の有無

影響あり

対象となる製品のバージョン

- CONNEXIVE Platform V7.0

対処方法

WebOTX Application Server をアップデートしてください。
WebOTX Application Server のパッチ入手に関しては、以下にお問い合わせください。
info-webotx@isd.jp.nec.com

EnterpriseIdentityManager

影響の有無

影響あり

対象となる製品のバージョン

- Ver8.0~8.2

対処方法

Apache Tomcatのバージョンアップが必要です。
詳細は、PPサポートまでお問い合わせください。

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

- ESMPRO/ServerManager Ver.6.31

対処方法

ESMPRO/ServerManager Ver.6.33 以降にアップデートしてください。
詳細は、下記URLを参照して下さい。
https://www.support.nec.co.jp/View.aspx?id=9010103524

InfoCage セキュリティリスク管理

影響の有無

影響あり

対象となる製品のバージョン

- InfoCage セキュリティリスク管理 Ver.2.1.5~2.1.8の
 統合サーバ(新プラットフォーム)

対処方法

詳細は、PPサポートまでお問い合わせください。

IoT共通基盤

影響の有無

影響あり

対象となる製品のバージョン

- IoT共通基盤 Ver.8系

対処方法

IoT共通基盤をアップデートしてください。
PPサポートにTomcatを最新化したパッチを公開しています。

iStorage HSシリーズ

影響の有無

影響あり

対象となる製品のバージョン

- iStorage HSシリーズ Version:V4.4~V5.2

対処方法

V5.5以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

- SimpWright/V6
- SimpWright/V7

 

対処方法

Apache Tomcat をベンダが提供する修正済みのバージョンにアップデートしてください。

SystemDirector Enterprise Asset Innovation Suite

影響の有無

影響あり

対象となる製品のバージョン

- Version 2.0 および 3.0

 

対処方法

Apache Tomcat 8.5.32 以上のバージョンにアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

 製品名       : SystemDirector Enterprise for Java

 対象モデル: JSF拡張モデル

 バージョン: V10.1

 

対処方法

Apache Tomcat 8.5.32 以上のバージョンにアップデートしてください。

UNIVERGE 3C

影響の有無

影響あり

対象となる製品のバージョン

- Unified Communication Manager (UCM) v9.1.2

 

対処方法

UCM v9.1.3 にアップデートしてください。詳細につきましては弊社営業にお問合せください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

- WebOTX Application Server Express V9.1~V9.4
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.5
- WebOTX Developer V9.1~V9.5
- WebOTX Portal V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2~V9.3
- WebOTX Application Server Express V10.1
- WebOTX Application Server Standard V10.1
- WebOTX Developer V10.1
- WebOTX Portal V10.1
- WebOTX Enterprise Service Bus V10.1

 

対処方法

本件の問題に対応する累積パッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートトータルにお問い合わせください。
https://www.support.nec.co.jp/PSHome.aspx
詳細は下記URLを参照してください。
https://support.pf.nec.co.jp/View.aspx?id=3010102745


WebSAM Application Navigator

影響の有無

影響あり

対象となる製品のバージョン

- Version 4.1.2.1 以降

対処方法

- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。

WebSAM MCOperations

影響の有無

影響あり

対象となる製品のバージョン

- Version 6.3.0.0 以降

対処方法

- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。

WebSAM SystemManager

影響の有無

影響あり

対象となる製品のバージョン

- Version 6.3.0.0 以降

対処方法

- Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。

WebSAM SystemManager G

影響の有無

影響あり

対象となる製品のバージョン

- Version 7.0 以降

対処方法

- SystemManager G 7.0/7.1:
    Apache Tomcat 8.0.53 以上のバージョンにアップデートしてください。
 - SystemManager G 8.0:
    Apache Tomcat 8.5.32 以上にバージョンにアップデートしてください。

参考情報

Japan Vulnerability Notes JVNVU#90416738
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90416738/

The Apache Software Foundation
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.8
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.31
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.52
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.88
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90


CVE-2018-1336, CVE-2018-8034, CVE-2018-8037
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1336
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8034
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8037

 

更新情報

2021/02/15
EnterpriseIdentityManager を登録しました。
2020/02/19
UNIVERGE 3C を登録しました。
2019/11/20
WebOTX を登録しました。
2019/10/25
InfoCage セキュリティリスク管理, IoT共通基盤, iStorage HSシリーズを登録しました。
2019/07/05
ESMPRO/ServerManager を登録しました。
2019/01/31
CONNEXIVE Platform を登録しました。
2018/12/14
WebSAM Application Navigator, WebSAM MCOperations, WebSAM SystemManager, WebSAM SystemManager G を登録しました。
2018/09/21
SystemDirector Enterprise を登録しました。
2018/09/03
SimpWright を登録しました。
SystemDirector Enterprise Asset Innovation Suite を登録しました。