Japan
サイト内の現在位置
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
掲載番号:NV20-016
脆弱性情報識別番号:JVNVU#97307781
概要
HTTP/2 リクエストの取り違え - CVE-2020-13943
HTTP/2 クライアントが接続許可された最大同時ストリーム数を超えた場合、その接続における後続のリクエストにおいて、意図した HTTP ヘッダではなく、以前送信されたリクエストの HTTP ヘッダに置き換わる可能性があります。その結果、ユーザが予期しないリソースへの応答が表示される可能性があります。
対象製品
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
AAPF Modeler V1.1 Tomcat 9.0.37
対処方法
Tomcat 9.0.38へのアップデートを行ってください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。
WebOTX Media V10 Release 1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103238
(パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。)
参考情報
JVN#97307781
https://jvn.jp/jp/JVN97307781/index.html
Fixed in Apache Tomcat 10.0.0-M8
http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8
Fixed in Apache Tomcat 9.0.38
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38
Fixed in Apache Tomcat 8.5.58
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58
CVE-2020-12351
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12351
更新情報
- 2020/12/18
-
NEC Advanced Analytics Platform Modeler, WebOTX を登録しました。