Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性

掲載番号:NV20-012
脆弱性情報識別番号:JVNVU#96390265

概要

h2c direct connection における HTTP/2 へのアップグレード処理において、HTTP/1.1 を扱うオブジェクトを破棄しないためヒープを過剰に消費する - CVE-2020-13934
WebSocket フレームのペイロード長が適切に検証されない - CVE-2020-13935

対象製品

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

CONNEXIVE Edge Device Management

影響の有無

影響あり

対象となる製品のバージョン

2.0.0

対処方法

Apache Tomcat を バージョン9の最新版(9.x)に更新してください。

GAZIRU

影響の有無

影響あり

対象となる製品のバージョン

GAZIRU個体識別 V2.1

対処方法

修正パッチを適用してください。

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

AAPF Modeler V1.0, V1.1

対処方法

Tomcatを修正バージョンにアップデートしてください。

ReportFiling

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

Apache Tomcatのアップデートが必要です。アップデートの詳細は以下にお問い合わせください。
reportfiling@nes.jp.nec.com

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるTomcatを使用している全てのバージョン

対処方法

最新版へのアップデートを行ってください。

WorkFusion Smart Process Automation

影響の有無

影響あり

対象となる製品のバージョン

10.1.4以前

対処方法

対策バージョン10.2へのアップデートを行ってください。

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

CropScope Web 2.7.0

対処方法

最新版へのアップデートを行ってください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

 WebOTX Application Server Express V9.1~V9.4 (※1)
 WebOTX Application Server Standard V9.2~V9.4
 WebOTX Application Server Enterprise V9.2~V9.6
 WebOTX Developer V9.1~V9.6
 WebOTX Application Server Express V10.1~V10.3 (※1,2)
 WebOTX Application Server Standard V10.1~V10.3
 WebOTX Developer V10.1~V10.3
 WebOTX OLF/TP Connect for Container V10.3
 ※1 WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。
 ※2 V10.1はWebOTX Media V10 Release 1インストールの場合(詳細バージョン 10.10.00.00)、CVE-2020-13934の影響はありません。

対処方法

 製品に対するパッチの公開時期は現在検討中です。
 急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
 https://www.support.nec.co.jp/View.aspx?id=3010103146
 ※パッチの提供は製品保守契約結ばれているお客様に限ります。

NEC 会話解析

影響の有無

影響あり(CVE-2020-13935)

対象となる製品のバージョン

全てのバージョン

対処方法

2021年3月リリースの対応版を適用してください。

Express5800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W

対処方法

以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.36

対処方法

以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

Ver6.48までのすべてのバージョン

対処方法

CONNEXIVE PF

影響の有無

WebOTXをWebOTX Media V10 Release 2以降のメディアからインストールした場合、影響あり(基盤として利用しているWebOTX Application Serverで影響あり)

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
http://support.pf.nec.co.jp/View.aspx?id=3010103146

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.6.2、V2.1.0.0~V2.2.1.3、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

ActSecureポータル

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新版にアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2

対処方法

Tomcatのバージョンアップを行ってください。その他詳細は以下をご参照ください。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2020-13934,13935.txt

参考情報

更新情報

2022/12/09
ActSecureポータル, SystemDirector Enterprise を更新しました。
2022/04/15
NEC Cyber Security Platform を登録しました。
2022/01/25
CONNEXIVE PF を登録しました。
2021/10/29
ESMPRO/ServerManager を登録しました。
2021/08/06
AddPoint を更新しました。
2021/04/09
CONNEXIVE Edge Device Management を登録しました。
2020/12/18
NEC会話解析, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
2020/11/10
海外大規模農場分析ソリューション, SimpWright, GAZIRU, ReportFilingt, NEC Advanced Analytics Platform Modeler, WebOTX, WorkFusion Smart Process Automation を登録しました。