Japan
サイト内の現在位置
Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性
掲載番号:NV20-011
脆弱性情報識別番号:JVNVU#99474519
概要
HTTP/2 プロトコルの処理においてリソース制御が適切に行われていないため、遠隔の第三者から特別に細工された一連のHTTP
/ 2リクエストによる同時接続が大量に行われると、CPU使用率が高くなりサービス運用妨害 (DoS)
状態になるおそれがあります。
(CVE-2020-11996)
対象製品
ActSecure
影響の有無
影響あり
対象となる製品のバージョン
acptwap01
acptwap02
対処方法
7月中旬リリースの対応版を適用してください。
GAZIRU
影響の有無
影響あり
対象となる製品のバージョン
GAZIRU個体識別 V2.1
対処方法
修正パッチを適用してください。
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
V1.0
V1.1
対処方法
Tomcatのバージョンを9.0.36にアップデートしてください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX
Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。WebOTX Media
V10 Release 1のメディアからインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX
Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX
Application Server Expressを使用している場合にも該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のNECサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103116
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
CropScope Web 2.6.0
対処方法
7月末リリースの対応版を適用してください。
Express5800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
InfoCage PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.35
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
参考情報
Fixed in Apache Tomcat 10.0.0-M6
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M6
Fixed in Apache Tomcat 9.0.36
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.36
Fixed in Apache Tomcat 8.5.56
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.56
Debian
https://security-tracker.debian.org/tracker/CVE-2020-11996
JVNVU#99474519
https://jvn.jp/vu/JVNVU99474519/index.html
更新情報
- 2020/12/18
-
Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/11/10
-
海外大規模農場分析ソリューション, ActSecure, GAZIRU, NEC Advanced Analytics Platform Modeler, WebOTX を登録しました。