サイト内の現在位置

Apache Tomcatにおける複数の脆弱性

掲載番号:NV21-016
脆弱性情報識別番号:JVNVU#91880022

概要

クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。 - CVE-2021-33037
JNDI Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。 - CVE-2021-30640
ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害(DoS)状態が引き起こされる可能性があります。 - CVE-2021-30639

対象製品

AddPoint

影響の有無

影響あり (CVE-2021-33037、CVE-2021-30640のみ)

対象となる製品のバージョン

Addpoint/SA V6.5 (Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

EnterpriseIdentityManager

影響の有無

影響あり (CVE-2021-33037のみ)

対象となる製品のバージョン

Ver8.2~8.3

対処方法

Apache Tomcatのバージョンアップ手順の提供となります。
PPサポート窓口へお問い合わせください。

Elastic Matcher

影響の有無

影響あり

対象となる製品のバージョン

Version:1.0

対処方法

Version:1.3にアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

V6、V7、V8

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

SecureWare/CLM

影響の有無

影響あり

対象となる製品のバージョン

SecureWare/CLM V1.0、V1.1.0、V1.1.1

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

WebOTX

影響の有無

影響あり (CVE-2021-33037)

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP Connect for Container V10.3

(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1、V10.4
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。

InfoCage/PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

v1.4~v2.2

対処方法

以下のページを参照して、Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
http://support.pf.nec.co.jp/View.aspx?id=3140108256

RETRIEEM

影響の有無

影響あり

対象となる製品のバージョン

Ver2.4J

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
http://support.nec.co.jp/View.aspx?id=3010103601

NEC 自動応答

影響の有無

影響あり(CVE-2021-33037)

対象となる製品のバージョン

4.3.2

対処方法

9月末リリースの最新バージョンに更新してください。

WebSAM IT Process Management

影響の有無

影響あり(CVE-2021-30640とCVE-2021-30639のみ)

対象となる製品のバージョン

Ver5.0.3以前のバージョン

対処方法

バージョン5.0.4にアップデートしてください。

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

R3.5.1

対処方法

最新バージョンにて対応済みです。

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.6.3、V2.1.0.0~V2.2.1.3、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

Ver6.52 までの全バージョン

対処方法

SM6.53以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103524

参考情報

更新情報

2022/04/15
NEC Cyber Security Platform, ESMPRO/ServerManager を登録しました。
2022/03/09
海外大規模農場分析ソリューション を登録しました。
2022/01/25
CONNEXIVE PF, NEC 自動応答, WebSAM IT Process Management を登録しました。
2021/10/29
AddPoint, EnterpriseIdentityManager, SimpWright, Elastic Matcher, SecureWare/CLM, WebOTX, RETRIEEM, InfoCage/PCセキュリティ を登録しました。