サイト内の現在位置

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV20-007
脆弱性情報識別番号:JVNVU#94679920

概要

HTTP Request Smuggling - CVE-2020-1935、CVE-2019-17569
Apache Tomcat が無効な Transfer-Encoding ヘッダーを誤って処理したリバースプロキシの配下にある場合 HTTP Request Smuggling 攻撃を受け、情報を改ざんされるなどの可能性があります。

不適切な認可処理 - CVE-2020-1938
Apache JServ Protocol (AJP) は Apache httpd が受け付けたリクエストを Apache Tomcat に連携する際に使用されており、デフォルトで有効です。
AJP ポートにアクセスが可能な場合、設定によって影響は異なりますが、任意のリクエストを送信され、WEB-INF や META-INF、または ServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる可能性があります。
また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される可能性があります。

対象製品

ActSecure

影響の有無

影響あり

対象となる製品のバージョン

Apache Tomcat 8.5.28

対処方法

2020/6リリースのアップデートを適用してください。

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/FAQナビ Version:5.5.0、5.5.1、5.5.2

対処方法

以下のサポートポータルにログインした後、当該情報を参照し対処を行ってください。
http://www.support.nec.co.jp/View.aspx?id=3010103046

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

V6、V7、V8

対処方法

対処済みのApache Tomcatにアップデートしてください。設定方法は下記となります。
■■■ 設定方法 ■■■
1.【Apache Tomcatの設定】
Apache HTTP Server との AJP 通信設定
Apache Tomcatのインストールディレクトリの「conf」フォルダ配下にある
「server.xml」ファイルを 編集します。

<!-- Define an AJP 1.3 Connector on port 8009 -->

<!--
<Connector protocol="AJP/1.3"
address="::1"
port="8009"
redirectPort="8443" />
-->
という個所を

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector protocol="AJP/1.3"
address="127.0.0.1"
port="8009"
redirectPort="8443"
secretRequired="false"
URIEncoding="Windows-31J" />
としてください。

2.【Apache HTTP Serverの設定】
Apache Tomcat との AJP 通信設定
Apache HTTP Server のインストールディレクトリの
「conf」フォルダ配下にある
「httpd.conf」ファイルの既に設定済みの

ProxyPass ajp://localhost:8009/simp8/
という個所を

ProxyPass ajp://127.0.0.1:8009/simp8/
としてください。

※IPv6環境のみの場合、
 1.の address="127.0.0.1" を address="::1" としてください。
 2.の ajp://127.0.0.1 を ajp://[::1] としてください。
※お使いのSimpWrightバージョン、環境によっては simp8 部分が simp7、
 もしくは simp6 となります。

StarOffice X

影響の有無

影響あり

対象となる製品のバージョン

StarOffice X 製品がバンドルしている WebOTX Application Server に影響があります
・StarOffice X V5.0, V5.1にバンドル
 WebOTX Application Server V9.1
・StarOffice X V5.2にバンドル
 WebOTX Application Server V10.

対処方法

本ページのWebOTXの項目を参照し、対処を行ってください。

ReportFiling

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

対処済みのApache Tomcatにアップデートしてください。
アップデートの際、Tomcatのインストールディレクトリ\conf\server.xmlを以下のように修正してください。

<Connector port="8009" protocol="AJP/1.3" ~
に 「secretRequired="false"」 のパラメータを追記

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

・WebOTX Application Server Express
 V9.1~V9.4 (※)
・WebOTX Application Server Standard
 V9.2~9.4
・WebOTX Application Server Enterprise
 V9.2~9.6
・WebOTX Developer
 V9.1~V9.6

・WebOTX Application Server Express
 V10.1~V10.3 (※)
・WebOTX Application Server Standard
 V10.1~V10.3
・WebOTX Developer
 V10.1~V10.3

(※)WebOTX Enterprise Service BusV9.2~V9.3、V10.1、V10.3および、
WebOTX Portal V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避策に関しては以下のページをご参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010103010

参考情報

更新情報

2020/07/07
ActSecure, CSVIEW, SimpWright, StarOffice X を登録しました。
2020/05/18
ReportFiling、WebOTX を登録しました。