当サイトでは、サービス向上、アクセス状況計測、広告配信などのためにクッキーを使用しています。個人情報保護について

Japan

BluStellar(ブルーステラ)

製品・ソリューション

  • セキュリティ

    NECは、「正しくつくる」「正常をつづける」「攻撃からまもる」の3つの軸で、お客様のビジネスの信頼性向上・生産性向上・事業拡大につながるご支援をしていきます。

関連リンク

業種・業務

関連リンク

企業情報

関連リンク

関連リンク

関連リンク

サイト内の現在位置

Apache Tomcat における https/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

掲載番号:NV20-016
脆弱性情報識別番号:JVNVU#97307781

概要

https/2 リクエストの取り違え - CVE-2020-13943
https/2 クライアントが接続許可された最大同時ストリーム数を超えた場合、その接続における後続のリクエストにおいて、意図した https ヘッダではなく、以前送信されたリクエストの https ヘッダに置き換わる可能性があります。その結果、ユーザが予期しないリソースへの応答が表示される可能性があります。

対象製品

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

CropScope 2.11

対処方法

最新版へのアップデートを行ってください。

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

AAPF Modeler V1.1 Tomcat 9.0.37

対処方法

Tomcat 9.0.38へのアップデートを行ってください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。
WebOTX Media V10 Release 1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103238
(パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。)

CONNEXIVE PF

影響の有無

WebOTX Application ServerをWebOTX Media V10 Release 2以降のメディアからインストールした場合のみ、基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103238

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V2.0.6.0~V2.0.6.2、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

ActSecureポータル

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新版にアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2

対処方法

脆弱性の発動条件や対処法は下記をご参照ください。
https://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2020-13943.txt

参考情報

JVN#97307781
https://jvn.jp/vu/JVNVU97307781/

Fixed in Apache Tomcat 10.0.0-M8
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8
Fixed in Apache Tomcat 9.0.38
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38
Fixed in Apache Tomcat 8.5.58
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

CVE-2020-12351
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12351

更新情報

2022/12/09
ActSecureポータル, SystemDirector Enterprise を更新しました。
2022/04/15
NEC Cyber Security Platform を登録しました。
2022/01/25
CONNEXIVE PF を登録しました。
2021/08/06
AddPoint を更新しました。
2021/02/15
海外大規模農場分析ソリューション を登録しました。
2020/12/18
NEC Advanced Analytics Platform Modeler, WebOTX を登録しました。
Escキーで閉じる 閉じる