概要

デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行される可能性があります。

対象製品

ActSecure

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

2020/6末リリースのアップデートを適用してください。

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

CONNEXIVE Edge Device Management

影響の有無

影響あり

対象となる製品のバージョン

2.0.0

対処方法

Apache Tomcat を バージョン9の最新版(9.x)に更新してください。

CONNEXIVE PF

影響の有無

影響あり

対象となる製品のバージョン

CONNEXIVE Platform V7.0
（基盤として利用しているWebOTX Application Serverに影響あり）

対処方法

以下を参照してWebOTX Application Serverの対処を行ってください。
http://support.pf.nec.co.jp/View.aspx?id=3010103096

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

AAPF Modeler V1.0, V1.1

対処方法

AAPF Modeler V1.1のTomcatを9.0.35にバージョンアップしてください。

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

2.2.1

対処方法

修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

・WebOTX Application Server Express
　V9.1～V9.4 (※)
・WebOTX Application Server Standard
　V9.2～9.4
・WebOTX Application Server Enterprise
　V9.2～9.6
・WebOTX Developer
　V9.1～V9.6

・WebOTX Application Server Express
　V10.1～V10.3 (※)
・WebOTX Application Server Standard
　V10.1～V10.3
・WebOTX Developer
　V10.1～V10.3

(※)WebOTX Enterprise Service BusV9.2～V9.3、V10.1、V10.3および、
WebOTX Portal V9.1、V9.3、V10.1、にバンドルされている
WebOTX Application Server Expressを使用している場合にも該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
また、以下のページで回避策を提示しています。
https://www.support.nec.co.jp/View.aspx?id=3010103096

Express5800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

NEC Information Assessment System

影響の有無

影響あり

対象となる製品のバージョン

2.2.1

対処方法

修正ライブラリ(9.0.35)を含む最新のバージョンにアップデートしてください。

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.34

対処方法

以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

Ver6.48までのすべてのバージョン

対処方法

Ver.6.51を適用してください。
http://support.pf.nec.co.jp/View.aspx?NoClear=on&id=9010103524

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0～V2.0.7.1、V2.1.0.0～V2.2.1.3

対処方法

V2.0.7.2、V3.0にて対処済みです。

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0～V2.0.6.2、V2.1.0.0～V2.2.1.3、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java JSF拡張モデル V10.0 ～ V10.3、V11.0 ～ V11.2

対処方法

以下を参照して対処を実施してください。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2020-9484.txt

参考情報

Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU98086086/index.html

JPCERT/CC
https://www.jpcert.or.jp/at/2020/at200024.html

The Apache Software Foundation 
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M5
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.35
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.55
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.104

Debian
https://security-tracker.debian.org/tracker/CVE-2020-9484

SUSE
https://www.suse.com/security/cve/CVE-2020-9484.html

CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-9484

更新情報