Japan
サイト内の現在位置
Apache Tomcat の複数の脆弱性に対するアップデート
掲載番号:NV20-007
脆弱性情報識別番号:JVNVU#94679920
概要
HTTP Request Smuggling - CVE-2020-1935、CVE-2019-17569
Apache Tomcat が無効な Transfer-Encoding ヘッダーを誤って処理したリバースプロキシの配下にある場合 HTTP Request Smuggling 攻撃を受け、情報を改ざんされるなどの可能性があります。
不適切な認可処理 - CVE-2020-1938
Apache JServ Protocol (AJP) は Apache httpd が受け付けたリクエストを Apache Tomcat に連携する際に使用されており、デフォルトで有効です。
AJP ポートにアクセスが可能な場合、設定によって影響は異なりますが、任意のリクエストを送信され、WEB-INF や META-INF、または ServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる可能性があります。
また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される可能性があります。
対象製品
ReportFiling
対象となる製品のバージョン
全てのバージョン
対処方法
対処済みのApache Tomcatにアップデートしてください。
アップデートの際、Tomcatのインストールディレクトリ\conf\server.xmlを以下のように修正してください。
<Connector port="8009" protocol="AJP/1.3" ~
に 「secretRequired="false"」 のパラメータを追記
WebOTX
対象となる製品のバージョン
・WebOTX Application Server Express
V9.1~V9.4 (※)
・WebOTX Application Server Standard
V9.2~9.4
・WebOTX Application Server Enterprise
V9.2~9.6
・WebOTX Developer
V9.1~V9.6
・WebOTX Application Server Express
V10.1~V10.3 (※)
・WebOTX Application Server Standard
V10.1~V10.3
・WebOTX Developer
V10.1~V10.3
(※)WebOTX Enterprise Service BusV9.2~V9.3、V10.1、V10.3および、
WebOTX Portal V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避策に関しては以下のページをご参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010103010
ActSecure
対象となる製品のバージョン
Apache Tomcat 8.5.28
対処方法
2020/6リリースのアップデートを適用してください。
AddPoint
対象となる製品のバージョン
Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)
(CVE-2020-1935、CVE-2020-1938のみ)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
EnterpriseIdentityManager
対象となる製品のバージョン
Ver5.0~8.3
対処方法
Apache Tomcatのバージョンアップが必要です。
詳細は、PPサポートまでお問い合わせください。
CONNEXIVE PF
対象となる製品のバージョン
CONNEXIVE Platform V7
(基盤として利用している WebOTX Application Server に影響があります。)
対処方法
本ページのWebOTXの項目を参照し、対処を行ってください。
CSVIEW
対象となる製品のバージョン
CSVIEW/FAQナビ Version:5.5.0、5.5.1、5.5.2
対処方法
以下のサポートポータルにログインした後、当該情報を参照し対処を行ってください。
http://www.support.nec.co.jp/View.aspx?id=3010103046
IoTデータストア
対象となる製品のバージョン
全バージョン
対処方法
2020/06リリースの正式版でTomcat 8.5.51にアップデートしてください。
SimpWright
対象となる製品のバージョン
V6、V7、V8
対処方法
対処済みのApache Tomcatにアップデートしてください。設定方法は下記となります。
■■■ 設定方法 ■■■
1.【Apache Tomcatの設定】
Apache HTTP Server との AJP 通信設定
Apache Tomcatのインストールディレクトリの「conf」フォルダ配下にある
「server.xml」ファイルを 編集します。
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector protocol="AJP/1.3"address="::1"
port="8009"
redirectPort="8443" />-->という個所を
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector protocol="AJP/1.3"address="127.0.0.1"
port="8009"
redirectPort="8443"
secretRequired="false"
URIEncoding="Windows-31J" />としてください。
2.【Apache HTTP Serverの設定】
Apache Tomcat との AJP 通信設定
Apache HTTP Server のインストールディレクトリの
「conf」フォルダ配下にある
「httpd.conf」ファイルの既に設定済みの
ProxyPass ajp://localhost:8009/simp8/
という個所を
ProxyPass ajp://127.0.0.1:8009/simp8/
としてください。
※IPv6環境のみの場合、
1.の address="127.0.0.1" を address="::1" としてください。
2.の ajp://127.0.0.1 を ajp://[::1] としてください。
※お使いのSimpWrightバージョン、環境によっては simp8 部分が simp7、
もしくは simp6 となります。
StarOffice X
対象となる製品のバージョン
StarOffice X 製品がバンドルしている WebOTX Application Server に影響があります
・StarOffice X V5.0にバンドル
WebOTX Application Server Express V9.1
・StarOffice X V5.1にバンドル
WebOTX Application Server Express V9.31
・StarOffice X V5.2にバンドル
WebOTX Application Server Express V10.1
・StarOffice X V5.3にバンドル
WebOTX Application Server Express V10.3
対処方法
本ページのWebOTXの項目を参照し、対処を行ってください。
SystemDirector Enterprise
対象となる製品のバージョン
SystemDirector Enterprise for Java JSF拡張モデル
V10.0 ~ V11.3、V11.0 ~ V11.1
1: CVE-2020-1935、CVE-2019-17569
・Apache Tomcat 9.0.0.M1 から 9.0.30 まで、または8.5.0 から 8.5.50 までを利用している。
・無効なTransfer-Encodingヘッダーを特定の方法で処理するリバースプロキシを利用している。
2: CVE-2020-1938
・Apache Tomcat 9.0.28 から 9.0.30 までまたは、8.5.48 から 8.5.50 までを利用している。
・AJP ポートにアクセスが可能である。
対処方法
Apache Tomcatを開発者が提供する情報をもとに、最新版へアップデートしてください。
2の場合でアップデートによる対処が難しい場合、参考情報のJPCERT/CCを参照し、次の回避策を検討してください。
・server.xml から AJP Connectorの設定を削除する
・AJPポートへの接続を制限する
ファイアウォールの設定
AJPコネクタに明示的にアドレスを設定する
AJP接続の認可設定を行う
NEC 会話解析
対象となる製品のバージョン
2.0以降
対処方法
2021年3月リリースの対応版を適用してください。
Express5800シリーズ
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
InfoCage PCセキュリティ
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.30
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
ESMPRO/ServerManager
対象となる製品のバージョン
Ver6.48までのすべてのバージョン
対処方法
Ver.6.51以降のバージョンにアップデートしてください。
CONNEXIVE Application Platform
対象となる製品のバージョン
V2.0
対処方法
WAFで未知のIPアドレスからのリクエストを遮断するなどの回避策を実施してください。
NEC Cyber Security Platform
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.5.4、V2.1.0.0~V2.2.1.3
対処方法
V2.0.6.0、V3.0にて対処済みです。
WebSAM NetvisorPro
対象となる製品のバージョン
8.5.32、8.5.34、8.5.42(CVE-2020-1935、CVE-2020-1938)
対処方法
最新のバージョンにアップデートしてください。
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU94679920/
JPCERT/CC
https://www.jpcert.or.jp/at/2020/at200009.html
The Apache Software Foundation
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17569
更新情報
- 2024/08/30
-
WebSAM NetvisorPro を登録しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2022/01/25
-
CONNEXIVE Application Platform を登録しました。
- 2021/10/29
-
ESMPRO/ServerManager を登録しました。
- 2021/08/06
-
AddPoint を更新しました。
- 2021/07/21
-
StarOffice X を更新しました。
- 2021/02/15
-
EnterpriseIdentityManager を登録しました。
- 2021/01/22
-
CONNEXIVE PF, SystemDirector Enterprise を登録しました。
- 2020/12/18
-
NEC会話解析, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/08/20
-
IoTデータストア を登録しました。
- 2020/07/07
-
ActSecure, CSVIEW, SimpWright, StarOffice X を登録しました。
- 2020/05/18
-
ReportFiling、WebOTX を登録しました。