Japan
サイト内の現在位置
Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性
掲載番号:NV20-012
脆弱性情報識別番号:JVNVU#96390265
概要
h2c direct connection における HTTP/2 へのアップグレード処理において、HTTP/1.1 を扱うオブジェクトを破棄しないためヒープを過剰に消費する - CVE-2020-13934
WebSocket フレームのペイロード長が適切に検証されない - CVE-2020-13935
対象製品
GAZIRU
対象となる製品のバージョン
GAZIRU個体識別 V2.1
対処方法
修正パッチを適用してください。
NEC Advanced Analytics Platform Modeler
対象となる製品のバージョン
AAPF Modeler V1.0, V1.1
対処方法
Tomcatを修正バージョンにアップデートしてください。
ReportFiling
対象となる製品のバージョン
全てのバージョン
対処方法
Apache Tomcatのアップデートが必要です。アップデートの詳細は以下にお問い合わせください。
reportfiling@nes.jp.nec.com
SimpWright
対象となる製品のバージョン
影響を受けるTomcatを使用している全てのバージョン
対処方法
最新版へのアップデートを行ってください。
WorkFusion Smart Process Automation
対象となる製品のバージョン
10.1.4以前
対処方法
対策バージョン10.2へのアップデートを行ってください。
海外大規模農場分析ソリューション
対象となる製品のバージョン
CropScope Web 2.7.0
対処方法
最新版へのアップデートを行ってください。
WebOTX
対象となる製品のバージョン
WebOTX Application Server Express V9.1~V9.4 (※1)
WebOTX Application Server Standard V9.2~V9.4
WebOTX Application Server Enterprise V9.2~V9.6
WebOTX Developer V9.1~V9.6 WebOTX Application Server Express V10.1~V10.3 (※1,2)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3
※1 WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。
※2 V10.1はWebOTX Media V10 Release 1インストールの場合(詳細バージョン 10.10.00.00)、CVE-2020-13934の影響はありません。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103146
※パッチの提供は製品保守契約結ばれているお客様に限ります。
AddPoint
対象となる製品のバージョン
Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
CONNEXIVE Edge Device Management
対象となる製品のバージョン
2.0.0
対処方法
Apache Tomcat を バージョン9の最新版(9.x)に更新してください。
NEC 会話解析
対象となる製品のバージョン
全てのバージョン(CVE-2020-13935)
対処方法
2021年3月リリースの対応版を適用してください。
Express5800シリーズ
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
InfoCage PCセキュリティ
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.36
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
ESMPRO/ServerManager
対象となる製品のバージョン
Ver6.48までのすべてのバージョン
対処方法
Ver.6.51を適用してください。
https://support.pf.nec.co.jp/View.aspx?NoClear=on&id=9010103524
CONNEXIVE PF
対象となる製品のバージョン
V7.0
WebOTXをWebOTX Media V10 Release 2以降のメディアからインストールした場合、影響あり(基盤として利用しているWebOTX Application Serverで影響あり)
対処方法
以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103146
NEC Cyber Security Platform
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.6.2、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
ActSecureポータル
対象となる製品のバージョン
全てのバージョン
対処方法
最新版にアップデートしてください。
GAZIRU個体識別 V2.1
対処方法
修正パッチを適用してください。
SystemDirector Enterprise
対象となる製品のバージョン
SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2
対処方法
Tomcatのバージョンアップを行ってください。その他詳細は以下をご参照ください。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2020-13934,13935.txt
WebSAM NetvisorPro
対象となる製品のバージョン
全てのバージョン(CVE-2020-13935のみ)
対処方法
最新のバージョンにアップデートを行ってください。
参考情報
Fixed in Apache Tomcat 10.0.0-M7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7
Fixed in Apache Tomcat 9.0.37
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37
Fixed in Apache Tomcat 8.5.57
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57
Fixed in Apache Tomcat 7.0.105
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105
Debian
https://security-tracker.debian.org/tracker/CVE-2020-13934
https://security-tracker.debian.org/tracker/CVE-2020-13935
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-13934.html
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-13935.html
SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2020-13934.html
https://www.suse.com/security/cve/CVE-2020-13935.html
JVNVU#96390265
https://jvn.jp/vu/JVNVU96390265/index.html
CVE-2020-13934
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13934
CVE-2020-13935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13935
更新情報
- 2024/08/30
-
WebSAM NetvisorPro を更新しました。
- 2022/12/09
-
ActSecureポータル, SystemDirector Enterprise を更新しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2022/01/25
-
CONNEXIVE PF を登録しました。
- 2021/10/29
-
ESMPRO/ServerManager を登録しました。
- 2021/08/06
-
AddPoint を更新しました。
- 2021/04/09
-
CONNEXIVE Edge Device Management を登録しました。
- 2020/12/18
-
NEC会話解析, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/11/10
-
海外大規模農場分析ソリューション, SimpWright, GAZIRU, ReportFilingt, NEC Advanced Analytics Platform Modeler, WebOTX, WorkFusion Smart Process Automation を登録しました。