サイト内の現在位置

Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

掲載番号:NV21-004
脆弱性情報識別番号:JVNVU#94251682

概要

Apache Tomcat には、 HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。

・HTTP/2 ストリーム間のリクエストヘッダの再利用 - CVE-2020-17527
HTTP/2 のコネクション内で複数のストリームを送受信する際、前のストリームで送信された HTTP リクエストのヘッダ値が、それに続くストリームのリクエストヘッダにそのまま引き継がれてしまうことがあります。

対象製品

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

NEC Advanced Analytics Platform Modeler

影響の有無

影響あり

対象となる製品のバージョン

AAPF Modeler V1.1

対処方法

Tomcat 9.0.40にバージョンアップしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3

V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。
WebOTX Media V10 Release 1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。
(※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のページ経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103307
※パッチモジュール提供は製品保守契約を結んでいただいたお客様に限ります。

海外大規模農場分析ソリューション

影響の有無

影響あり(HTTP/2未対応のため、直接の影響はありません)

対象となる製品のバージョン

全てのバージョン

対処方法

最新のバージョンにアップデートしてください。

参考情報

更新情報

2021/06/18
AddPoint, 海外大規模農場分析ソリューション を登録しました。
2021/02/15
NEC Advanced Analytics Platform Modeler を登録しました。
2021/01/22
WebOTX を登録しました。