サイト内の現在位置

Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性

掲載番号:NV19-004
脆弱性情報識別番号:JVNVU#99875465

概要

Apache Tomcat JK mod_jk Connector には、パストラバーサルの脆弱性が存在します。
URI の正規化処理の部分に問題があり、細工された URI を適切に処理できず、制限を回避してアプリにアクセスされる可能性があります。

対象製品

CONNEXIVE Platform

影響の有無

影響あり

対象となる製品のバージョン

CONNEXIVE Platform V7.0

対処方法

WebOTX Application Server をアップデートしてください。
WebOTX Application Server のパッチ入手に関しては、以下にお問い合わせください。
info-webotx@isd.jp.nec.com

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Web Edition V4.1～V4.2
WebOTX Standard-J Edition V4.1～V4.2
WebOTX Standard Edition V4.2
WebOTX Enterprise Edition V4.2
WebOTX UDDI Registry V1.1
WebOTX Web Edition V5.1～V5.3
WebOTX Standard-J Edition V5.1～V5.3
WebOTX Standard Edition V5.1～V5.3
WebOTX Enterprise Edition V5.1～V5.3
WebOTX UDDI Registry V2.1
WebOTX Web Edition V6.1～V6.5
WebOTX Standard-J Edition V6.1～V6.5
WebOTX Standard Edition V6.2～V6.5
WebOTX Enterprise Edition V6.2～V6.5
WebOTX UDDI Registry V3.1～V3.5
WebOTX Enterprise Service Bus V6.4～V6.5
WebOTX Application Server Web Edition V7.1
WebOTX Application Server Standard-J Edition V7.1
WebOTX Application Server Standard Edition V7.1
WebOTX Application Server Enterprise Edition V7.1
WebOTX UDDI Registry V7.1
WebOTX Enterprise Service Bus V7.1
WebOTX Application Server Web Edition V8.1
WebOTX Application Server Standard-J Edition V8.1
WebOTX Application Server Express V8.2～V8.5
WebOTX Application Server Foundation V8.2～V8.5
WebOTX Application Server Standard V8.2～V8.5
WebOTX Application Server Enterprise V8.2～V8.5
WebOTX Portal V8.2～V8.4
WebOTX Enterprise Service Bus V8.1～V8.5
WebOTX Application Server Express V9.1～V9.4
WebOTX Application Server Standard V9.2～9.4
WebOTX Application Server Enterprise V9.2～9.5
WebOTX Portal V9.1～V9.3
WebOTX Enterprise Service Bus V9.2～V9.3
WebOTX Application Server Express V10.1
WebOTX Application Server Standard V10.1
WebOTX Client V10.1
WebOTX Enterprise Service Bus V10.1

対処方法

本件の問題に対応する累積パッチの公開時期は現在検討中です。
回避策が以下のページにて公開されています。
https://support.pf.nec.co.jp/View.aspx?id=3010102748
急ぎでパッチが必要な場合は、NECサポートトータルにお問い合わせください。
https://www.support.nec.co.jp/PSHome.aspx

参考情報

Japan Vulnerability Notes JVNVU#99875465
Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性
https://jvn.jp/vu/JVNVU99875465/

JVN iPedia
Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-008951.html

Apache Software Foundation
Fixed in Apache Tomcat JK Connector 1.2.46
https://tomcat.apache.org/security-jk.html#Fixed_in_Apache_Tomcat_JK_Connector_1.2.46

CVE-2018-11759
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11759

更新情報

2019/11/20: WebOTX を登録しました。
2019/01/31: CONNEXIVE Platform を登録しました。