Japan
サイト内の現在位置
Apache Tomcatにリモートコード実行可能性の脆弱性
掲載番号:NV20-008
脆弱性情報識別番号JVNVU#98086086
概要
デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行される可能性があります。
対象製品
ActSecure
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
2020/6末リリースのアップデートを適用してください。
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
AAPF Modeler V1.0, V1.1
対処方法
AAPF Modeler V1.1のTomcatを9.0.35にバージョンアップしてください。
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
2.2.1
対処方法
修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
・WebOTX Application Server Express
V9.1~V9.4 (※)
・WebOTX
Application Server Standard
V9.2~9.4
・WebOTX Application Server
Enterprise
V9.2~9.6
・WebOTX Developer
V9.1~V9.6
・WebOTX Application Server Express
V10.1~V10.3 (※)
・WebOTX Application Server
Standard
V10.1~V10.3
・WebOTX Developer
V10.1~V10.3
(※)WebOTX Enterprise Service BusV9.2~V9.3、V10.1、V10.3および、
WebOTX Portal
V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
また、以下のページで回避策を提示しています。
https://www.support.nec.co.jp/View.aspx?id=3010103096
Express5800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
NEC Information Assessment System
影響の有無
影響あり
対象となる製品のバージョン
2.2.1
対処方法
修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。
InfoCage PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.34
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU98086086/index.html
JPCERT/CC
https://www.jpcert.or.jp/at/2020/at200024.html
The Apache Software Foundation
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M5
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.35
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.55
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.104
Debian
https://security-tracker.debian.org/tracker/CVE-2020-9484
SUSE
https://www.suse.com/security/cve/CVE-2020-9484.html
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-9484
更新情報
- 2020/12/18
-
NEC Information Assessment System, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/11/10
-
NEC Advanced Analytics Platform Modeler を登録しました。
- 2020/08/20
-
WebOTX を登録しました。
- 2020/07/07
-
海外大規模農場分析ソリューション, ActSecure を登録しました。