Japan
サイト内の現在位置
Apache Tomcatにリモートコード実行可能性の脆弱性
掲載番号:NV20-008
脆弱性情報識別番号JVNVU#98086086
概要
デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行される可能性があります。
対象製品
ActSecure
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
2020/6末リリースのアップデートを適用してください。
AddPoint
影響の有無
影響あり
対象となる製品のバージョン
Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
CONNEXIVE Edge Device Management
影響の有無
影響あり
対象となる製品のバージョン
2.0.0
対処方法
Apache Tomcat を バージョン9の最新版(9.x)に更新してください。
CONNEXIVE PF
影響の有無
影響あり
対象となる製品のバージョン
CONNEXIVE Platform V7.0
(基盤として利用しているWebOTX Application Serverに影響あり)
対処方法
以下を参照してWebOTX Application Serverの対処を行ってください。
http://support.pf.nec.co.jp/View.aspx?id=3010103096
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
AAPF Modeler V1.0, V1.1
対処方法
AAPF Modeler V1.1のTomcatを9.0.35にバージョンアップしてください。
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
2.2.1
対処方法
修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
・WebOTX Application Server Express
V9.1~V9.4 (※)
・WebOTX
Application Server Standard
V9.2~9.4
・WebOTX Application Server
Enterprise
V9.2~9.6
・WebOTX Developer
V9.1~V9.6
・WebOTX Application Server Express
V10.1~V10.3 (※)
・WebOTX Application Server
Standard
V10.1~V10.3
・WebOTX Developer
V10.1~V10.3
(※)WebOTX Enterprise Service BusV9.2~V9.3、V10.1、V10.3および、
WebOTX Portal
V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
また、以下のページで回避策を提示しています。
https://www.support.nec.co.jp/View.aspx?id=3010103096
Express5800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
NEC Information Assessment System
影響の有無
影響あり
対象となる製品のバージョン
2.2.1
対処方法
修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。
InfoCage PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.34
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
Ver6.48までのすべてのバージョン
対処方法
Ver.6.51を適用してください。
http://support.pf.nec.co.jp/View.aspx?NoClear=on&id=9010103524
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3
対処方法
V2.0.7.2、V3.0にて対処済みです。
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.6.2、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2
対処方法
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU98086086/index.html
JPCERT/CC
https://www.jpcert.or.jp/at/2020/at200024.html
The Apache Software Foundation
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M5
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.35
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.55
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.104
Debian
https://security-tracker.debian.org/tracker/CVE-2020-9484
SUSE
https://www.suse.com/security/cve/CVE-2020-9484.html
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-9484
更新情報
- 2022/12/09
-
SystemDirector Enterprise を更新しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2021/10/29
-
ESMPRO/ServerManager を登録しました。
- 2021/08/06
-
AddPoint を更新しました。
- 2021/04/09
-
CONNEXIVE Edge Device Management, CONNEXIVE PF を登録しました。
- 2020/12/18
-
NEC Information Assessment System, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/11/10
-
NEC Advanced Analytics Platform Modeler を登録しました。
- 2020/08/20
-
WebOTX を登録しました。
- 2020/07/07
-
海外大規模農場分析ソリューション, ActSecure を登録しました。