掲載番号:NV20-013
脆弱性情報識別番号:JVNVU#92184689

概要

Apache https Web Server 2.4系には複数の脆弱性が存在します。
・Cache-Digest の値を細工された https/2 リクエストを処理することで Push Diary がクラッシュする脆弱性 - CVE-2020-9490
・mod_proxy_uwsgi にバッファオーバーフローの脆弱性 - CVE-2020-11984
・mod_remoteip および mod_rewrite を用いる特定の設定を行って動作させている場合に、ログや PHP スクリプトで参照される IP アドレスが偽装可能な脆弱性 - CVE-2020-11985
・https/2 モジュールで trace/debug が有効な場合、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性 - CVE-2020-11993

対象製品

AddPoint

影響の有無

影響あり(CVE-2020-11985のみ)

対象となる製品のバージョン

Addpoint/SA V6.5(Apache https Web Server 2.4.6を使用)

対処方法

Apache https Web Serverを最新版へアップデートしてください。

RAPID機械学習

影響の有無

影響あり

対象となる製品のバージョン

  V2.2～V2.3SP1に同梱されるWebOTX
　※オンプレミス環境にて、RAPID製品が提供するWebアプリケーションのみ用いる場合は影響を受けません。

対処方法

　https/2リクエスト、mod_proxy_uwsgi、mod_remoteip、mod_rewriteといった脆弱性に該当する機能を利用しないでください。
　もしこれらの機能の利用が避けられない場合は、WebOTXが同梱する古いApacheは利用せず、お問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

　・CVE-2020-9490、CVE-2020-11993
　　WebOTX Application Server Express、Standard V9.4～V10.3
　　WebOTX Application Server Enterprise V9.4～V9.6
　　※WebOTX Enterprise Service Bus V10.1、V10.3、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
　　※V9.4はApache https Server 2.4.20以降2.4.43までのいずれかのパッチモジュールを適用している場合に該当します。

　・CVE-2020-11984
　　WebOTX Application Server Express、Standard V9.3～V10.3
　　WebOTX Application Server Enterprise V9.3～V9.6
　　※WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
　　※V9.3～V9.5および、V10.1、V10.2はApache https Server 2.4.32以降2.4.43までのいずれかのパッチモジュールを適用している場合に該当します。

　・CVE-2020-11985
　　WebOTX Application Server Express、Standard、Enterprise V9.3、V9.4
　　※WebOTX Enterprise Service Bus V9.3、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

　急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
　また、以下のページにて回避策を公開しています。
　https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010103175

NEC 会話解析

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

RHELの更新版を適用を適用してください。

得選街・GCB

影響の有無

影響あり

対象となる製品のバージョン

2.4.6

対処方法

2020年12月末リリースの修正パッチを適用してください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103175

ActSecureポータル

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新版にアップデートしてください。

参考情報

Apache https Server 2.4 vulnerabilities
https://httpsd.apache.org/security/vulnerabilities_24.html

Debian
https://security-tracker.debian.org/tracker/CVE-2020-9490
https://security-tracker.debian.org/tracker/CVE-2020-11984
https://security-tracker.debian.org/tracker/CVE-2020-11993

Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2020-9490
https://access.redhat.com/security/cve/CVE-2020-11984
https://access.redhat.com/security/cve/CVE-2020-11993

Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2020-9490.html
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2020-11984.html
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2020-11993.html

CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9490
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11985
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11993

JVNVU#92184689
https://jvn.jp/vu/JVNVU92184689/index.html

更新情報