Japan
サイト内の現在位置
Apache Tomcat に対するアップデート
掲載番号:NV21-012
脆弱性情報識別番号:JVNVU#97014415
概要
The Apache Software Foundation から、Apache Tomcat
の脆弱性に対するアップデートが公開されました。
CVE-2020-9484
への対応が不十分であったため、あらためて修正されたデシリアライズ対象データの検証不備の脆弱性(CVE-2021-25329)と、h2c
接続リクエストに対するレスポンス生成の不備(CVE-2021-15122)が修正されています。
対象製品
AddPoint
影響の有無
影響あり
対象となる製品のバージョン
Addpoint/SA V6.5(Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
NEC Advanced Analytics Platform Modeler
影響の有無
影響あり
対象となる製品のバージョン
AAPF Modeler V1.2およびV1.1
対処方法
Tomcat9.0.43以降にアップデートしてください。
WebOTX
影響の有無
影響あり(CVE-2021-25329のみ)
対象となる製品のバージョン
WebOTX Application Server Express V9.1~V9.4 (※)
WebOTX Application
Server Standard V9.2~V9.4
WebOTX Application Server Enterprise V9.2~V9.6
WebOTX
Developer V9.1~V9.6
WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server
Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for
Container V10.3
(※) WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、
WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server
Expressを使用している場合にも該当します。
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、以下のページ経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103405
※パッチモジュール提供は製品保守契約を結んでいただいたお客様に限ります。
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
すべてのバージョン
対処方法
5/31実施のアップデートを適用してください。
RETRIEEM
影響の有無
影響あり
対象となる製品のバージョン
Ver2.4J
対処方法
Tomcat 8.5.63にバージョンアップしてください。
CONNEXIVE PF
影響の有無
基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103405
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.6.3、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
CONNEXIVE Edge Device Management
影響の有無
影響あり
対象となる製品のバージョン
Ver2.0
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3140107772
ActSecureポータル
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
最新版にアップデートしてください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java JSF拡張モデル V10.0 ~ V10.3、V11.0 ~ V11.2
対処方法
脆弱性の発動条件や対処法は下記をご参照ください。
https://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2021-15122,25329.txt
参考情報
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session
persistence)
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E
Fixed in Apache Tomcat 10.0.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.2
Fixed in Apache Tomcat 9.0.43
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.43
Fixed in Apache Tomcat 8.5.63
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.63
Fixed in Apache Tomcat 7.0.108
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.108
Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200024.html
JVNVU#97014415
https://jvn.jp/vu/JVNVU97014415/index.html
更新情報
- 2022/12/09
-
ActSecureポータル, SystemDirector Enterprise を更新しました。
- 2022/08/05
-
CONNEXIVE Edge Device Management を登録しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2022/01/25
-
CONNEXIVE PF を登録しました。
- 2021/10/29
-
RETRIEEM を登録しました。
- 2021/06/18
-
AddPoint, NEC Advanced Analytics Platform Modeler, WebOTX, 海外大規模農場分析ソリューション を登録しました。
