サイト内の現在位置

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV20-002
脆弱性情報識別番号:JVNVU#98104709

概要

情報漏えい - CVE-2019-12418
Tomcat インスタンスを完全に制御される。
・Apache Tomcat が JMX Remote Lifecycle Listener で構成されている場合に、RMI レジストリの操作による中間者攻撃 (man-in-the-middle attack) が行われ、MX インターフェースのアクセスに使用されるユーザ名とパスワードを取得される可能性があります。
・また開発者によると、本脆弱性をリモートから悪用可能な JRE の脆弱性、CVE-2019-2684 にも注意する必要があるとのことです。

セッション固定攻撃 - CVE-2019-17563
なりすましが行われることで、FORM 認証されたユーザの権限で任意の操作を実行される。
・FORM 認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。

対象製品

CONNEXIVE PF

影響の有無

影響あり

対象となる製品のバージョン

CONNEXIVE Platform V7

対処方法

以下のサポートページを参照して、対処を行ってください。
(リンク先はWebOTXですが、対処法は同一です。)
http://support.pf.nec.co.jp/View.aspx?id=3010102971

SpoolServer/Winspool

影響の有無

影響あり

対象となる製品のバージョン

CVE-2019-12418
・Apache Tomcat 9.0.0.M1 から 9.0.28 まで
・Apache Tomcat 8.5.0 から 8.5.47 まで
・Apache Tomcat 7.0.0 から 7.0.97 まで

CVE-2019-17563
・Apache Tomcat 9.0.0.M1 から 9.0.29 まで
・Apache Tomcat 8.5.0 から 8.5.49 まで
・Apache Tomcat 7.0.0 から 7.0.98 まで

対処方法

開発者が提供する情報をもとに、修正バージョンへアップデートしてください。
修正バージョンは以下の通りです。

CVE-2019-12418
- Apache Tomcat 9.0.29
- Apache Tomcat 8.5.49
- Apache Tomcat 7.0.99

CVE-2019-17563
- Apache Tomcat 9.0.30
- Apache Tomcat 8.5.50
- Apache Tomcat 7.0.99

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

CVE-2019-17563
・WebOTX Application Server Express V9.1~V9.4 (※)
・WebOTX Application Server Standard V9.2~9.4
・WebOTX Application Server Enterprise V9.2~9.5
・WebOTX Developer V9.1~V9.5

・WebOTX Application Server Express V10.1~V10.2 (※)
・WebOTX Application Server Standard V10.1~V10.2
・WebOTX Developer V10.1~V10.2

(※)WebOTX Enterprise Service Bus V9.2~V9.3、V10.1および、
WebOTX Portal V9.1、V9.3、V10.1にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。

CVE-2019-12418については、脆弱性の影響を受けるコンポーネントを利用していないため影響ありません。

対処方法

以下のリンクにて対策と回避策を掲載しています。
https://www.support.nec.co.jp/View.aspx?id=3010102971

参考情報

更新情報

2020/05/18
CONNEXIVE PF、WebOTX を登録しました。