掲載番号:NV20-002
脆弱性情報識別番号:JVNVU#98104709

概要

情報漏えい - CVE-2019-12418
Tomcat インスタンスを完全に制御される。
・Apache Tomcat が JMX Remote Lifecycle Listener で構成されている場合に、RMI レジストリの操作による中間者攻撃 (man-in-the-middle attack) が行われ、MX インターフェースのアクセスに使用されるユーザ名とパスワードを取得される可能性があります。
・また開発者によると、本脆弱性をリモートから悪用可能な JRE の脆弱性、CVE-2019-2684 にも注意する必要があるとのことです。

セッション固定攻撃 - CVE-2019-17563
なりすましが行われることで、FORM 認証されたユーザの権限で任意の操作を実行される。
・FORM 認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。

対象製品

ActSecure

影響の有無

影響あり

対象となる製品のバージョン

Apache Tomcat 8.5.28

対処方法

最新のアップデートを適用してください。

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

Ver6.47までのすべてのバージョン

対処方法

以下のサポートページにて対処済み製品を公開しています。
https://support.pf.nec.co.jp/View.aspx?NoClear=on&id=9010103524

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W

対処方法

以下のページで最新版のESMPRO/ServerManagerが利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://jpn.nec.com/esmsm/download.html

Express5800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ

対処方法

以下のページで公開している最新版のESMPRO/ServerManager ver.6.48を適用してください。
https://jpn.nec.com/esmsm/download.html

CONNEXIVE PF

影響の有無

影響あり

対象となる製品のバージョン

CONNEXIVE Platform V7

対処方法

以下のサポートページを参照して、対処を行ってください。
（リンク先はWebOTXですが、対処法は同一です。）
https://support.pf.nec.co.jp/View.aspx?id=3010102971

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

Ver1.4, 1.5, 1.6, 1.7, 2.0, 2.1, 2.2

対処方法

ご利用の環境に応じて、以下のページを参考にApache Tomcat 9.0.37へのアップデートをお願いいたします。
https://support.pf.nec.co.jp/View.aspx?id=3140107763

SpoolServer/Winspool

影響の有無

影響あり

対象となる製品のバージョン

CVE-2019-12418
・Apache Tomcat 9.0.0.M1 から 9.0.28 まで
・Apache Tomcat 8.5.0 から 8.5.47 まで
・Apache Tomcat 7.0.0 から 7.0.97 まで

CVE-2019-17563
・Apache Tomcat 9.0.0.M1 から 9.0.29 まで
・Apache Tomcat 8.5.0 から 8.5.49 まで
・Apache Tomcat 7.0.0 から 7.0.98 まで

対処方法

開発者が提供する情報をもとに、修正バージョンへアップデートしてください。
修正バージョンは以下の通りです。

CVE-2019-12418
- Apache Tomcat 9.0.29
- Apache Tomcat 8.5.49
- Apache Tomcat 7.0.99

CVE-2019-17563
- Apache Tomcat 9.0.30
- Apache Tomcat 8.5.50
- Apache Tomcat 7.0.99

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java JSF拡張モデル
V10.0 ～ V11.3、V11.0 ～ V11.1

1: CVE-2019-12418
　・Apache Tomcat 9.0.0.M1 から 9.0.28 までを利用している。
　・JMX Remote Lifecycle Listenerを利用している。

2: CVE-2019-17563
　・Apache Tomcat 9.0.0.M1 から 9.0.29 までを利用している。
　・FORM認証を利用している。

対処方法

Apache Tomcatを開発者が提供する情報をもとに、最新版へアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

CVE-2019-17563
・WebOTX Application Server Express V9.1～V9.4 (※)
・WebOTX Application Server Standard V9.2～9.4
・WebOTX Application Server Enterprise V9.2～9.5
・WebOTX Developer V9.1～V9.5

・WebOTX Application Server Express V10.1～V10.2 (※)
・WebOTX Application Server Standard V10.1～V10.2
・WebOTX Developer V10.1～V10.2

(※)WebOTX Enterprise Service Bus V9.2～V9.3、V10.1および、
WebOTX Portal V9.1、V9.3、V10.1にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。

CVE-2019-12418については、脆弱性の影響を受けるコンポーネントを利用していないため影響ありません。

対処方法

以下のリンクにて対策と回避策を掲載しています。
https://www.support.nec.co.jp/View.aspx?id=3010102971

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

V1.0～V2.0.6.2、V2.1.0.0～V2.2.1.3、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

参考情報

Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU98104709/

CVE-2019-12418
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418
CVE-2019-17563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563
CVE-2019-2684
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2684

The Apache Software Foundation
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.29
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.30
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_8.5.49
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_8.5.50
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_7.0.99

更新情報