Japan
サイト内の現在位置
Apache Tomcat における https/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
掲載番号:NV21-004
脆弱性情報識別番号:JVNVU#94251682
概要
Apache Tomcat には、 https/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。
・https/2 ストリーム間のリクエストヘッダの再利用 - CVE-2020-17527
https/2
のコネクション内で複数のストリームを送受信する際、前のストリームで送信された https
リクエストのヘッダ値が、それに続くストリームのリクエストヘッダにそのまま引き継がれてしまうことがあります。
対象製品
AddPoint
影響の有無
影響あり
対象となる製品のバージョン
Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
AAPF Modeler V1.1
対処方法
Tomcat 9.0.40にバージョンアップしてください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX
Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX
OLF/TP Connect for Container V10.3
V10.1については、WebOTX Media V10 Release
2以降のメディアからインストールした場合に影響があります。
WebOTX Media V10 Release
1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX Enterprise Service
Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server
Expressを使用している場合も該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のページ経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103307
※パッチモジュール提供は製品保守契約を結んでいただいたお客様に限ります。
海外大規模農場分析ソリューション
影響の有無
影響あり(https/2未対応のため、直接の影響はありません)
対象となる製品のバージョン
全てのバージョン
対処方法
最新のバージョンにアップデートしてください。
CONNEXIVE PF
影響の有無
WebOTX Application ServerをWebOTX Media V10 Release 2以降のメディアからインストールした場合のみ、基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103307
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V2.0.6.0~V2.0.6.2、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
ActSecureポータル
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
最新版にアップデートしてください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2
対処方法
脆弱性の発動条件や対処法は下記をご参照ください。
https://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2020-17527.txt
参考情報
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200045.html
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Fixed
in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Fixed
in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
Debian
https://security-tracker.debian.org/tracker/CVE-2020-17527
JVN
https://jvn.jp/vu/JVNVU94251682/index.html
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17527
更新情報
- 2022/12/09
-
ActSecureポータル, SystemDirector Enterprise を更新しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2022/01/25
-
CONNEXIVE PF を登録しました。
- 2021/06/18
-
AddPoint, 海外大規模農場分析ソリューション を登録しました。
- 2021/02/15
-
NEC Advanced Analytics Platform Modeler を登録しました。
- 2021/01/22
-
WebOTX を登録しました。