サイト内の現在位置

Apache Tomcatにリモートコード実行可能性の脆弱性

掲載番号:NV20-008
脆弱性情報識別番号JVNVU#98086086

概要

デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行される可能性があります。

対象製品

ActSecure

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

2020/6末リリースのアップデートを適用してください。

CONNEXIVE Edge Device Management

影響の有無

影響あり

対象となる製品のバージョン

2.0.0

対処方法

Apache Tomcat を バージョン9の最新版(9.x)に更新してください。

CONNEXIVE PF

影響の有無

影響あり

対象となる製品のバージョン

CONNEXIVE Platform V7.0
(基盤として利用しているWebOTX Application Serverに影響あり)

対処方法

以下を参照してWebOTX Application Serverの対処を行ってください。
http://support.pf.nec.co.jp/View.aspx?id=3010103096

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

AAPF Modeler V1.0, V1.1

対処方法

AAPF Modeler V1.1のTomcatを9.0.35にバージョンアップしてください。

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

2.2.1

対処方法

修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

・WebOTX Application Server Express
 V9.1~V9.4 (※)
・WebOTX Application Server Standard
 V9.2~9.4
・WebOTX Application Server Enterprise
 V9.2~9.6
・WebOTX Developer
 V9.1~V9.6

・WebOTX Application Server Express
 V10.1~V10.3 (※)
・WebOTX Application Server Standard
 V10.1~V10.3
・WebOTX Developer
 V10.1~V10.3

(※)WebOTX Enterprise Service BusV9.2~V9.3、V10.1、V10.3および、
WebOTX Portal V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
また、以下のページで回避策を提示しています。
https://www.support.nec.co.jp/View.aspx?id=3010103096

Express5800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

NEC Information Assessment System

影響の有無

影響あり

対象となる製品のバージョン

2.2.1

対処方法

修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.34

対処方法

以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763

参考情報

更新情報

2021/04/09
CONNEXIVE Edge Device Management, CONNEXIVE PF を登録しました。
2020/12/18
NEC Information Assessment System, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
2020/11/10
NEC Advanced Analytics Platform Modeler を登録しました。
2020/08/20
WebOTX を登録しました。
2020/07/07
海外大規模農場分析ソリューション, ActSecure を登録しました。