掲載番号:NV20-016
脆弱性情報識別番号:JVNVU#97307781

概要

HTTP/2 リクエストの取り違え - CVE-2020-13943
HTTP/2 クライアントが接続許可された最大同時ストリーム数を超えた場合、その接続における後続のリクエストにおいて、意図した HTTP ヘッダではなく、以前送信されたリクエストの HTTP ヘッダに置き換わる可能性があります。その結果、ユーザが予期しないリソースへの応答が表示される可能性があります。

対象製品

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

AAPF Modeler V1.1 Tomcat 9.0.37

対処方法

Tomcat 9.0.38へのアップデートを行ってください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V10.1～V10.3 (※)
WebOTX Application Server Standard V10.1～V10.3
WebOTX Developer V10.1～V10.3
WebOTX OLF/TP Connect for Container V10.3V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。
WebOTX Media V10 Release 1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103238
（パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。）

参考情報

JVN#97307781
https://jvn.jp/jp/JVN97307781/index.html

Fixed in Apache Tomcat 10.0.0-M8
http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8
Fixed in Apache Tomcat 9.0.38
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38
Fixed in Apache Tomcat 8.5.58
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

CVE-2020-12351
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12351

更新情報