Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性

掲載番号:NV20-011
脆弱性情報識別番号:JVNVU#99474519

概要

HTTP/2 プロトコルの処理においてリソース制御が適切に行われていないため、遠隔の第三者から特別に細工された一連のHTTP / 2リクエストによる同時接続が大量に行われると、CPU使用率が高くなりサービス運用妨害 (DoS) 状態になるおそれがあります。
(CVE-2020-11996)

対象製品

ActSecure

影響の有無

影響あり

対象となる製品のバージョン

acptwap01
acptwap02

対処方法

7月中旬リリースの対応版を適用してください。

GAZIRU

影響の有無

影響あり

対象となる製品のバージョン

GAZIRU個体識別 V2.1

対処方法

修正パッチを適用してください。

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

V1.0
V1.1

対処方法

Tomcatのバージョンを9.0.36にアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V10.1～V10.3 (※)
WebOTX Application Server Standard V10.1～V10.3
WebOTX Developer V10.1～V10.3

　V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。WebOTX Media V10 Release 1のメディアからインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
　(※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のNECサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103116

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

CropScope Web 2.6.0

対処方法

7月末リリースの対応版を適用してください。

Express5800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.35

対処方法

以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763

参考情報

Fixed in Apache Tomcat 10.0.0-M6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M6

Fixed in Apache Tomcat 9.0.36
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.36

Fixed in Apache Tomcat 8.5.56
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.56

Debian
https://security-tracker.debian.org/tracker/CVE-2020-11996

JVNVU#99474519
https://jvn.jp/vu/JVNVU99474519/index.html

更新情報

2020/12/18: Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティを登録しました。
2020/11/10: 海外大規模農場分析ソリューション, ActSecure, GAZIRU, NEC Advanced Analytics Platform Modeler, WebOTX を登録しました。

サイト内の現在位置

Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性

概要

対象製品

ActSecure

影響の有無

対象となる製品のバージョン

対処方法

GAZIRU

影響の有無

対象となる製品のバージョン

対処方法

NEC Advanced Analytics Platform Modeler

影響の有無

対象となる製品のバージョン

対処方法

WebOTX

影響の有無

対象となる製品のバージョン

対処方法

海外大規模農場分析ソリューション

影響の有無

対象となる製品のバージョン

対処方法

Express5800シリーズ

影響の有無

対象となる製品のバージョン

対処方法

FC98-NXシリーズ

影響の有無

対象となる製品のバージョン

対処方法

InfoCage PCセキュリティ

影響の有無

対象となる製品のバージョン

対処方法

参考情報

更新情報