当サイトでは、サービス向上、アクセス状況計測、広告配信などのためにクッキーを使用しています。個人情報保護について

Japan

BluStellar(ブルーステラ)

製品・ソリューション

  • セキュリティ

    NECは、「正しくつくる」「正常をつづける」「攻撃からまもる」の3つの軸で、お客様のビジネスの信頼性向上・生産性向上・事業拡大につながるご支援をしていきます。

関連リンク

業種・業務

関連リンク

企業情報

関連リンク

関連リンク

関連リンク

サイト内の現在位置

Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

掲載番号:NV21-009
脆弱性情報識別番号:JVNVU#96136392

概要

Apache Tomcat には、Java API の実装不備に起因する情報漏えいの脆弱性が存在します。

JSPのソースコードの漏えい - CVE-2021-24122
Java API File.getCanonicalPath() の予期しない動作に起因した情報漏えいの脆弱性が存在します。NTFSファイルシステムを利用したシステム構成で、ネットワーク上にリソースを提供する場合、セキュリティの制約を回避することが可能です。またシステム構成に依存して JSP のソースコードが表示される場合があります。

対象製品

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

InfoCage PCセキュリティ

影響の有無

影響あり(簡易ログサーバを運用している場合)

対象となる製品のバージョン

Ver1.4 / 1.5 / 1.6 / 1.7 / 2.0 / 2.1 / 2.2

対処方法

以下のページを参照してTomcat 9.0.41にバージョンアップしてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3140107986

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V9.1~V9.4 (※)
WebOTX Application Server Standard V9.2~9.4
WebOTX Application Server Enterprise V9.2~9.6
WebOTX Developer V9.1~V9.6

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
(※) WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のページ経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103351
※パッチモジュール提供は製品保守契約を結んでいただいたお客様に限ります。

RETRIEEM

影響の有無

影響あり

対象となる製品のバージョン

Ver2.4J

対処方法

Tomcat 8.5.63にバージョンアップしてください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103351

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.6.3、V2.1.0.0~V2.2.1.3、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

ActSecureポータル

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新版にアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2

対処方法

脆弱性の発動条件や対処法は下記をご参照ください。
https://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2021-24122.txt

参考情報

Apache Tomcatの脆弱性(CVE-2021-24122)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210002.html

CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E

Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10

Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40

Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60

Fixed in Apache Tomcat 7.0.107
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107

JVNVU#96136392
https://jvn.jp/vu/JVNVU96136392/index.html

更新情報

2022/12/09
ActSecureポータル, SystemDirector Enterprise を更新しました。
2022/04/15
NEC Cyber Security Platform を登録しました。
2022/01/25
CONNEXIVE PF を登録しました。
2021/10/29
RETRIEEM を登録しました。
2021/08/06
AddPoint を更新しました。
2021/04/09
InfoCage PCセキュリティ, WebOTX を登録しました。
Escキーで閉じる 閉じる