サイト内の現在位置

Apache Tomcatにおける複数の脆弱性

掲載番号:NV21-016
脆弱性情報識別番号:JVNVU#91880022

概要

クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。 - CVE-2021-33037
JNDI Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。 - CVE-2021-30640
ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害(DoS)状態が引き起こされる可能性があります。 - CVE-2021-30639

対象製品

AddPoint

影響の有無

影響あり (CVE-2021-33037、CVE-2021-30640のみ)

対象となる製品のバージョン

Addpoint/SA V6.5 (Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

EnterpriseIdentityManager

影響の有無

影響あり (CVE-2021-33037のみ)

対象となる製品のバージョン

Ver8.2~8.3

対処方法

Apache Tomcatのバージョンアップ手順の提供となります。
PPサポート窓口へお問い合わせください。

Elastic Matcher

影響の有無

影響あり

対象となる製品のバージョン

Version:1.0

対処方法

Version:1.3にアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

V6、V7、V8

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

SecureWare/CLM

影響の有無

影響あり

対象となる製品のバージョン

SecureWare/CLM V1.0、V1.1.0、V1.1.1

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

WebOTX

影響の有無

影響あり (CVE-2021-33037)

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP Connect for Container V10.3

(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1、V10.4
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。

InfoCage/PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

v1.4~v2.2

対処方法

以下のページを参照して、Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
http://support.pf.nec.co.jp/View.aspx?id=3140108256

RETRIEEM

影響の有無

影響あり

対象となる製品のバージョン

Ver2.4J

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
http://support.nec.co.jp/View.aspx?id=3010103601

NEC 自動応答

影響の有無

影響あり(CVE-2021-33037)

対象となる製品のバージョン

4.3.2

対処方法

9月末リリースの最新バージョンに更新してください。

WebSAM IT Process Management

影響の有無

影響あり(CVE-2021-30640とCVE-2021-30639のみ)

対象となる製品のバージョン

Ver5.0.3以前のバージョン

対処方法

バージョン5.0.4にアップデートしてください。

海外大規模農場分析ソリューション

影響の有無

影響あり

対象となる製品のバージョン

R3.5.1

対処方法

最新バージョンにて対応済みです。

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.6.3、V2.1.0.0~V2.2.1.3、V3.0.0.0

対処方法

V2.0.6.4、V3.0.0.3にて対応済みです。

ESMPRO/ServerManager

影響の有無

影響あり

対象となる製品のバージョン

Ver6系 Ver6.59 までの全バージョン
Ver7系 Ver7.12 までの全バージョン

対処方法

6.59以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
7.13以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010110069

CONNEXIVE Edge Device Management

影響の有無

影響あり

対象となる製品のバージョン

2.0

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

IoTデータストア

影響の有無

影響あり

対象となる製品のバージョン

V5.0以降

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

ActSecureポータル

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新版にアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java V10.0 ~ V10.3、V11.0 ~ V12.0

対処方法

脆弱性の発動条件や対処法は下記をご参照ください。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2021-33037,30640,30639.txt

CONNEXIVE Application Platform

影響の有無

影響あり(CVE-2021-33037のみ)

対象となる製品のバージョン

CONNEXIVE Application Platform V2.0

対処方法

以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254

IoT共通基盤

影響の有無

影響あり(CVE-2021-33037のみ)

対象となる製品のバージョン

IoT基盤サービス移行専用ライセンス

対処方法

以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110203

参考情報

更新情報

2022/12/09
ActSecureポータル, CONNEXIVE Application Platform, IoT共通基盤, SystemDirector Enterprise を更新しました。
2022/09/22
ESMPRO/ServerManager を更新しました。
2022/08/05
CONNEXIVE Edge Device Management, IoTデータストア を登録しました。
2022/04/15
NEC Cyber Security Platform, ESMPRO/ServerManager を登録しました。
2022/03/09
海外大規模農場分析ソリューション を登録しました。
2022/01/25
CONNEXIVE PF, NEC 自動応答, WebSAM IT Process Management を登録しました。
2021/10/29
AddPoint, EnterpriseIdentityManager, SimpWright, Elastic Matcher, SecureWare/CLM, WebOTX, RETRIEEM, InfoCage/PCセキュリティ を登録しました。