Japan
サイト内の現在位置
Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性
掲載番号:NV20-012
脆弱性情報識別番号:JVNVU#96390265
概要
h2c direct connection における HTTP/2 へのアップグレード処理において、HTTP/1.1
を扱うオブジェクトを破棄しないためヒープを過剰に消費する - CVE-2020-13934
WebSocket フレームのペイロード長が適切に検証されない -
CVE-2020-13935
対象製品
GAZIRU
影響の有無
影響あり
対象となる製品のバージョン
GAZIRU個体識別 V2.1
対処方法
修正パッチを適用してください。
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
AAPF Modeler V1.0, V1.1
対処方法
Tomcatを修正バージョンにアップデートしてください。
ReportFiling
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
Apache
Tomcatのアップデートが必要です。アップデートの詳細は以下にお問い合わせください。
reportfiling@nes.jp.nec.com
SimpWright
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるTomcatを使用している全てのバージョン
対処方法
最新版へのアップデートを行ってください。
WorkFusion Smart Process Automation
影響の有無
影響あり
対象となる製品のバージョン
10.1.4以前
対処方法
対策バージョン10.2へのアップデートを行ってください。
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
CropScope Web 2.7.0
対処方法
最新版へのアップデートを行ってください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server Express V9.1~V9.4 (※1)
WebOTX
Application Server Standard V9.2~V9.4
WebOTX Application Server Enterprise
V9.2~V9.6
WebOTX Developer V9.1~V9.6 WebOTX Application Server
Express V10.1~V10.3 (※1,2)
WebOTX Application Server Standard
V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container
V10.3
※1 WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、WebOTX Portal
V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。
※2
V10.1はWebOTX Media V10 Release 1インストールの場合(詳細バージョン
10.10.00.00)、CVE-2020-13934の影響はありません。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103146
※パッチの提供は製品保守契約結ばれているお客様に限ります。
NEC 会話解析
影響の有無
影響あり(CVE-2020-13935)
対象となる製品のバージョン
全てのバージョン
対処方法
2021年3月リリースの対応版を適用してください。
Express5800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているExpress5800-50シリーズ
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
FC98-NXシリーズ
影響の有無
影響あり
対象となる製品のバージョン
影響を受けるESMPRO/ServerManagerを使用しているFC-R20W/R24W/R16W
対処方法
以下のページで最新版のESMPRO/ServerManager Ver.6.51が利用可能です。お客様の環境にあわせてバージョン変更を行ってください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
InfoCage PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
Ver1.4、1.5、1.6、1.7、2.0、2.1、2.2
簡易ログサーバで利用している Apache Tomcat のバージョンが以下である場合
- Apache Tomcat 9.0.0.M1 から 9.0.36
対処方法
以下のページを参考にApache Tomcatのアップデートを行ってください。
https://www.support.nec.co.jp/View.aspx?id=3140107763
参考情報
Fixed in Apache Tomcat 10.0.0-M7
http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M7
Fixed in Apache Tomcat 9.0.37
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.37
Fixed in Apache Tomcat 8.5.57
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.57
Fixed in Apache Tomcat 7.0.105
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.105
Debian
https://security-tracker.debian.org/tracker/CVE-2020-13934
https://security-tracker.debian.org/tracker/CVE-2020-13935
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-13934.html
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-13935.html
SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2020-13934.html
https://www.suse.com/security/cve/CVE-2020-13935.html
JVNVU#96390265
https://jvn.jp/vu/JVNVU96390265/index.html
CVE-2020-13934
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13934
CVE-2020-13935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13935
更新情報
- 2020/12/18
-
NEC会話解析, Express5800シリーズ, FC98-NXシリーズ, InfoCage PCセキュリティ を登録しました。
- 2020/11/10
-
海外大規模農場分析ソリューション, SimpWright, GAZIRU, ReportFilingt, NEC Advanced Analytics Platform Modeler, WebOTX, WorkFusion Smart Process Automation を登録しました。