Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性

掲載番号:NV19-004
脆弱性情報識別番号:JVNVU#99875465

概要

Apache Tomcat JK mod_jk Connector には、パストラバーサルの脆弱性が存在します。
URI の正規化処理の部分に問題があり、細工された URI を適切に処理できず、制限を回避してアプリにアクセスされる可能性があります。

対象製品

CONNEXIVE Platform

影響の有無

影響あり

対象となる製品のバージョン

  • CONNEXIVE Platform V7.0

対処方法

WebOTX Application Server をアップデートしてください。
WebOTX Application Server のパッチ入手に関しては、以下にお問い合わせください。
info-webotx@isd.jp.nec.com

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V4.1~V4.2
  • WebOTX Standard-J Edition V4.1~V4.2
  • WebOTX Standard Edition V4.2
  • WebOTX Enterprise Edition V4.2
  • WebOTX UDDI Registry V1.1
  • WebOTX Web Edition V5.1~V5.3
  • WebOTX Standard-J Edition V5.1~V5.3
  • WebOTX Standard Edition V5.1~V5.3
  • WebOTX Enterprise Edition V5.1~V5.3
  • WebOTX UDDI Registry V2.1
  • WebOTX Web Edition V6.1~V6.5
  • WebOTX Standard-J Edition V6.1~V6.5
  • WebOTX Standard Edition V6.2~V6.5
  • WebOTX Enterprise Edition V6.2~V6.5
  • WebOTX UDDI Registry V3.1~V3.5
  • WebOTX Enterprise Service Bus V6.4~V6.5
  • WebOTX Application Server Web Edition V7.1
  • WebOTX Application Server Standard-J Edition V7.1
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX UDDI Registry V7.1
  • WebOTX Enterprise Service Bus V7.1
  • WebOTX Application Server Web Edition V8.1
  • WebOTX Application Server Standard-J Edition V8.1
  • WebOTX Application Server Express V8.2~V8.5
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V8.5
  • WebOTX Application Server Enterprise V8.2~V8.5
  • WebOTX Portal V8.2~V8.4
  • WebOTX Enterprise Service Bus V8.1~V8.5
  • WebOTX Application Server Express V9.1~V9.4
  • WebOTX Application Server Standard V9.2~9.4
  • WebOTX Application Server Enterprise V9.2~9.5
  • WebOTX Portal V9.1~V9.3
  • WebOTX Enterprise Service Bus V9.2~V9.3
  • WebOTX Application Server Express V10.1
  • WebOTX Application Server Standard V10.1
  • WebOTX Client V10.1
  • WebOTX Enterprise Service Bus V10.1

対処方法

本件の問題に対応する累積パッチの公開時期は現在検討中です。
回避策が以下のページにて公開されています。
http://support.pf.nec.co.jp/View.aspx?id=3010102748
急ぎでパッチが必要な場合は、NECサポートトータルにお問い合わせください。
https://www.support.nec.co.jp/PSHome.aspx

参考情報

Japan Vulnerability Notes JVNVU#99875465
Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性
https://jvn.jp/vu/JVNVU99875465/

JVN iPedia
Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-008951.html

Apache Software Foundation
Fixed in Apache Tomcat JK Connector 1.2.46
http://tomcat.apache.org/security-jk.html#Fixed_in_Apache_Tomcat_JK_Connector_1.2.46

CVE-2018-11759
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11759

更新情報

2019/11/20

WebOTX を登録しました。

2019/01/31

CONNEXIVE Platform を登録しました。