Japan
サイト内の現在位置
Apache Tomcatにおける複数の脆弱性
掲載番号:NV21-016
脆弱性情報識別番号:JVNVU#91880022
概要
クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。
- CVE-2021-33037
JNDI
Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。
- CVE-2021-30640
ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害(DoS)状態が引き起こされる可能性があります。
- CVE-2021-30639
対象製品
AddPoint
影響の有無
影響あり (CVE-2021-33037、CVE-2021-30640のみ)
対象となる製品のバージョン
Addpoint/SA V6.5 (Apache Tomcat 9.0.12を使用)
対処方法
Apache Tomcat(9系)を最新版へアップデートしてください。
EnterpriseIdentityManager
影響の有無
影響あり (CVE-2021-33037のみ)
対象となる製品のバージョン
Ver8.2~8.3
対処方法
Apache Tomcatのバージョンアップ手順の提供となります。
PPサポート窓口へお問い合わせください。
Elastic Matcher
影響の有無
影響あり
対象となる製品のバージョン
Version:1.0
対処方法
Version:1.3にアップデートしてください。
SimpWright
影響の有無
影響あり
対象となる製品のバージョン
V6、V7、V8
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
SecureWare/CLM
影響の有無
影響あり
対象となる製品のバージョン
SecureWare/CLM V1.0、V1.1.0、V1.1.1
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
WebOTX
影響の有無
影響あり (CVE-2021-33037)
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX
Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP
Connect for Container V10.3
(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal
V10.1、V10.4
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します
対処方法
製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
InfoCage/PCセキュリティ
影響の有無
影響あり
対象となる製品のバージョン
v1.4~v2.2
対処方法
以下のページを参照して、Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
http://support.pf.nec.co.jp/View.aspx?id=3140108256
RETRIEEM
影響の有無
影響あり
対象となる製品のバージョン
Ver2.4J
対処方法
Apache Tomcatをご利用中バージョンの最新版へアップデートしてください。
CONNEXIVE PF
影響の有無
基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
http://support.nec.co.jp/View.aspx?id=3010103601
NEC 自動応答
影響の有無
影響あり(CVE-2021-33037)
対象となる製品のバージョン
4.3.2
対処方法
9月末リリースの最新バージョンに更新してください。
WebSAM IT Process Management
影響の有無
影響あり(CVE-2021-30640とCVE-2021-30639のみ)
対象となる製品のバージョン
Ver5.0.3以前のバージョン
対処方法
バージョン5.0.4にアップデートしてください。
海外大規模農場分析ソリューション
影響の有無
影響あり
対象となる製品のバージョン
R3.5.1
対処方法
最新バージョンにて対応済みです。
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.6.3、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.6.4、V3.0.0.3にて対応済みです。
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
Ver6.52 までの全バージョン
対処方法
SM6.53以降にアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU91880022/
The Apache Software Foundation
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.7
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.48
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.68
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.109
更新情報
- 2022/04/15
-
NEC Cyber Security Platform, ESMPRO/ServerManager を登録しました。
- 2022/03/09
-
海外大規模農場分析ソリューション を登録しました。
- 2022/01/25
-
CONNEXIVE PF, NEC 自動応答, WebSAM IT Process Management を登録しました。
- 2021/10/29
-
AddPoint, EnterpriseIdentityManager, SimpWright, Elastic Matcher, SecureWare/CLM, WebOTX, RETRIEEM, InfoCage/PCセキュリティ を登録しました。