Japan
サイト内の現在位置
Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性
掲載番号:NV20-011
脆弱性情報識別番号:JVNVU#99474519
概要
https/2 プロトコルの処理においてリソース制御が適切に行われていないため、遠隔の第三者から特別に細工された一連のhttps
/ 2リクエストによる同時接続が大量に行われると、CPU使用率が高くなりサービス運用妨害 (DoS)
状態になるおそれがあります。
(CVE-2020-11996)
対象製品
ActSecure
影響の有無
影響あり
対象となる製品のバージョン
acptwap01
acptwap02
対処方法
7月中旬リリースの対応版を適用してください。
AddPoint
影響の有無
影響あり
対象となる製品のバージョン
Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
CONNEXIVE Edge Device Management
影響の有無
影響あり
対象となる製品のバージョン
2.0.0
対処方法
Apache Tomcat を バージョン9の最新版(9.x)に更新してください。
CONNEXIVE PF
影響の有無
影響あり
対象となる製品のバージョン
CONNEXIVE Platform V7.0
(WebOTX Media V10 Release 2以降のメディアからインストールした場合、基盤として利用しているWebOTX Application Serverに影響あり)
対処方法
以下を参照してWebOTX Application Serverの対処を行ってください。
https://support.pf.nec.co.jp/View.aspx?id=3010103116
GAZIRU
影響の有無
影響あり
対象となる製品のバージョン
GAZIRU個体識別 V2.1
対処方法
修正パッチを適用してください。
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
V1.0
V1.1
対処方法
Tomcatのバージョンを9.0.36にアップデートしてください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX
Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。WebOTX Media
V10 Release 1のメディアからインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX
Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX
Application Server Expressを使用している場合にも該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のNECサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103116
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
CropScope Web 2.6.0
対処方法
7月末リリースの対応版を適用してください。
Express5800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
InfoCage PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.35
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
Ver6.48までのすべてのバージョン
対処方法
Ver.6.51を適用してください。
https://support.pf.nec.co.jp/View.aspx?NoClear=on&id=9010103524
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V2.0.6.0~V2.0.6.2、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2
対処方法
Tomcatのバージョンアップを行ってください。その他詳細は以下をご参照ください。
https://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2020-11996.txt
参考情報
Fixed in Apache Tomcat 10.0.0-M6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M6
Fixed in Apache Tomcat 9.0.36
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.36
Fixed in Apache Tomcat 8.5.56
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.56
Debian
https://security-tracker.debian.org/tracker/CVE-2020-11996
JVNVU#99474519
https://jvn.jp/vu/JVNVU99474519/index.html
更新情報
- 2022/12/09
-
SystemDirector Enterprise を更新しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2021/10/29
-
ESMPRO/ServerManager を登録しました。
- 2021/08/06
-
AddPoint を更新しました。
- 2021/04/09
-
CONNEXIVE Edge Device Management, CONNEXIVE PF を登録しました。
- 2020/12/18
-
Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/11/10
-
海外大規模農場分析ソリューション, ActSecure, GAZIRU, NEC Advanced Analytics Platform Modeler, WebOTX を登録しました。