サイト内の現在位置

Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性

掲載番号:NV20-011
脆弱性情報識別番号:JVNVU#99474519

概要

HTTP/2 プロトコルの処理においてリソース制御が適切に行われていないため、遠隔の第三者から特別に細工された一連のHTTP / 2リクエストによる同時接続が大量に行われると、CPU使用率が高くなりサービス運用妨害 (DoS) 状態になるおそれがあります。
(CVE-2020-11996)

対象製品

ActSecure

影響の有無

影響あり

対象となる製品のバージョン

acptwap01
acptwap02

対処方法

7月中旬リリースの対応版を適用してください。

CONNEXIVE Edge Device Management

影響の有無

影響あり

対象となる製品のバージョン

2.0.0

対処方法

Apache Tomcat を バージョン9の最新版(9.x)に更新してください。

CONNEXIVE PF

影響の有無

影響あり

対象となる製品のバージョン

CONNEXIVE Platform V7.0
(WebOTX Media V10 Release 2以降のメディアからインストールした場合、基盤として利用しているWebOTX Application Serverに影響あり)

対処方法

以下を参照してWebOTX Application Serverの対処を行ってください。
http://support.pf.nec.co.jp/View.aspx?id=3010103116

GAZIRU

影響の有無

影響あり

対象となる製品のバージョン

GAZIRU個体識別 V2.1

対処方法

修正パッチを適用してください。

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

V1.0
V1.1

対処方法

Tomcatのバージョンを9.0.36にアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3

 V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。WebOTX Media V10 Release 1のメディアからインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
 (※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のNECサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103116

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

CropScope Web 2.6.0

対処方法

7月末リリースの対応版を適用してください。

Express5800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.35

対処方法

以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763

参考情報

更新情報

2021/04/09
CONNEXIVE Edge Device Management, CONNEXIVE PF を登録しました。
2020/12/18
Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
2020/11/10
海外大規模農場分析ソリューション, ActSecure, GAZIRU, NEC Advanced Analytics Platform Modeler, WebOTX を登録しました。