サイト内の現在位置

Apache Tomcatにおける複数の脆弱性

掲載番号:NV21-016
脆弱性情報識別番号:JVNVU#91880022

概要

クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。 - CVE-2021-33037
JNDI Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。 - CVE-2021-30640
ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害(DoS)状態が引き起こされる可能性があります。 - CVE-2021-30639

対象製品

AddPoint

影響の有無

影響あり (CVE-2021-33037、CVE-2021-30640のみ)

対象となる製品のバージョン

Addpoint/SA V6.5 (Apache Tomcat 9.0.12を使用)

対処方法

Apache Tomcat(9系)を最新版へアップデートしてください。

EnterpriseIdentityManager

影響の有無

影響あり (CVE-2021-33037のみ)

対象となる製品のバージョン

Ver8.2~8.3

対処方法

Apache Tomcatのバージョンアップ手順の提供となります。
PPサポート窓口へお問い合わせください。

Elastic Matcher

影響の有無

影響あり

対象となる製品のバージョン

Version:1.0

対処方法

Version:1.3にアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

V6、V7、V8

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

SecureWare/CLM

影響の有無

影響あり

対象となる製品のバージョン

SecureWare/CLM V1.0、V1.1.0、V1.1.1

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

WebOTX

影響の有無

影響あり (CVE-2021-33037)

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP Connect for Container V10.3

(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1、V10.4
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します

対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。

InfoCage/PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

v1.4~v2.2

対処方法

以下のページを参照して、Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
http://support.pf.nec.co.jp/View.aspx?id=3140108256

RETRIEEM

影響の有無

影響あり

対象となる製品のバージョン

Ver2.4J

対処方法

Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。

参考情報

更新情報

2021/10/29
AddPoint, EnterpriseIdentityManager, SimpWright, Elastic Matcher, SecureWare/CLM, WebOTX, RETRIEEM, InfoCage/PCセキュリティ を登録しました。