Japan
サイト内の現在位置
Apache Tomcatにおける複数の脆弱性
掲載番号:NV21-016
脆弱性情報識別番号:JVNVU#91880022
概要
クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。
- CVE-2021-33037
JNDI
Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。
- CVE-2021-30640
ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害(DoS)状態が引き起こされる可能性があります。
- CVE-2021-30639
対象製品
AddPoint
影響の有無
影響あり (CVE-2021-33037、CVE-2021-30640のみ)
対象となる製品のバージョン
Addpoint/SA V6.5 (Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
EnterpriseIdentityManager
影響の有無
影響あり (CVE-2021-33037のみ)
対象となる製品のバージョン
Ver8.2~8.3
対処方法
Apache Tomcatのバージョンアップ手順の提供となります。
PPサポート窓口へお問い合わせください。
Elastic Matcher
影響の有無
影響あり
対象となる製品のバージョン
Version:1.0
対処方法
Version:1.3にアップデートしてください。
SimpWright
影響の有無
影響あり
対象となる製品のバージョン
V6、V7、V8
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
SecureWare/CLM
影響の有無
影響あり
対象となる製品のバージョン
SecureWare/CLM V1.0、V1.1.0、V1.1.1
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
WebOTX
影響の有無
影響あり (CVE-2021-33037)
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX
Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP
Connect for Container V10.3
(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal
V10.1、V10.4
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
InfoCage/PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
v1.4~v2.2
対処方法
以下のページを参照して、Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
http://support.pf.nec.co.jp/View.aspx?id=3140108256
RETRIEEM
影響の有無
影響あり
対象となる製品のバージョン
Ver2.4J
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
CONNEXIVE PF
影響の有無
基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
http://support.nec.co.jp/View.aspx?id=3010103601
NEC 自動応答
影響の有無
影響あり(CVE-2021-33037)
対象となる製品のバージョン
4.3.2
対処方法
9月末リリースの最新バージョンに更新してください。
WebSAM IT Process Management
影響の有無
影響あり(CVE-2021-30640とCVE-2021-30639のみ)
対象となる製品のバージョン
Ver5.0.3以前のバージョン
対処方法
バージョン5.0.4にアップデートしてください。
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
R3.5.1
対処方法
最新バージョンにて対応済みです。
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.6.3、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
Ver6系 Ver6.59 までの全バージョン
Ver7系 Ver7.12 までの全バージョン
対処方法
6.59以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
7.13以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010110069
CONNEXIVE Edge Device Management
影響の有無
影響あり
対象となる製品のバージョン
2.0
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
IoTデータストア
影響の有無
影響あり
対象となる製品のバージョン
V5.0以降
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
ActSecureポータル
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
最新版にアップデートしてください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java V10.0 ~ V10.3、V11.0 ~ V12.0
対処方法
脆弱性の発動条件や対処法は下記をご参照ください。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2021-33037,30640,30639.txt
CONNEXIVE Application Platform
影響の有無
影響あり(CVE-2021-33037のみ)
対象となる製品のバージョン
CONNEXIVE Application Platform V2.0
対処方法
以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254
IoT共通基盤
影響の有無
影響あり(CVE-2021-33037のみ)
対象となる製品のバージョン
IoT基盤サービス移行専用ライセンス
対処方法
以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110203
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU91880022/
The Apache Software Foundation
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.7
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.48
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.68
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.109
更新情報
- 2022/12/09
-
ActSecureポータル, CONNEXIVE Application Platform, IoT共通基盤, SystemDirector Enterprise を更新しました。
- 2022/09/22
-
ESMPRO/ServerManager を更新しました。
- 2022/08/05
-
CONNEXIVE Edge Device Management, IoTデータストア を登録しました。
- 2022/04/15
-
NEC Cyber Security Platform, ESMPRO/ServerManager を登録しました。
- 2022/03/09
-
海外大規模農場分析ソリューション を登録しました。
- 2022/01/25
-
CONNEXIVE PF, NEC 自動応答, WebSAM IT Process Management を登録しました。
- 2021/10/29
-
AddPoint, EnterpriseIdentityManager, SimpWright, Elastic Matcher, SecureWare/CLM, WebOTX, RETRIEEM, InfoCage/PCセキュリティ を登録しました。