Japan

サイト内の現在位置

Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性

掲載番号:NV23-005
脆弱性情報識別番号:JVNVU#91253151

概要

Apache Commons FileUpload 1.5より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
Apache Tomcatのファイルアップロード機能にはApache Commons FileUploadパッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

対象製品

NEC Advanced Analytics Platform Modeler

対象となる製品のバージョン

該当のApache Tomcatを利用しているすべてのバージョン

対処方法

tomcatを9.0.X系の最新版にアップデートください。

NeoFace Monitor

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応済みです。

WebOTX

対象となる製品のバージョン

・WebOTX Application Server Express V10.1~V11.1 (※)
・WebOTX Application Server Standard V10.1~V11.1 
・WebOTX Application Server Standard Extended Option V11.1
 
(※) WebOTX Enterprise Service Bus V10.1/V10.3、
    WebOTX Portal V10.1/V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

以下のサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104199

CONNEXIVE PF

対象となる製品のバージョン

CONNEXIVE Platform V7(CONNEXIVEが基盤として利用しているWebOTX Application Serverが本脆弱性の影響を受けるため)

対処方法

本ページのWebOTXの対処を参照ください。

NEC Information Assessment System

対象となる製品のバージョン

V4.1以降

対処方法

V5.1にて対処済みです。

ESMPRO/ServerManager

対象となる製品のバージョン

Ver6:6.48以降(それより前は非該当Tomcat使用)
Ver7:全Ver

対処方法

以下のサイトを参照ください。
 Ver6
 https://www.support.nec.co.jp/View.aspx?id=9010103524
 Ver7
 https://www.support.nec.co.jp/View.aspx?id=9010110069

WebSAM IT Process Management

対象となる製品のバージョン

Ver5.0.5以前のバージョン

対処方法

Ver5.0.8へのバージョンアップ、または製品提供のバージョンアップ手順書でApache Tomcatを9.0.74にアップデートしてください。

EnterpriseIdentityManager

対象となる製品のバージョン

Ver8.2~8.7

対処方法

Apache Tomcatのバージョンアップが必要です。PPサポート窓口へお問い合わせください。

ActSecureポータル

対象となる製品のバージョン

すべてのバージョン

対処方法

最新バージョンにて修正済みです。

NEC 自動応答

対象となる製品のバージョン

v4.3.4

対処方法

最新のバージョンにて対応しております。

iStorage Vシリーズ

対象となる製品のバージョン

Platform (PF)-REST API DKCMAIN 93-05-01-40/01から93-06-81-40/01
HA Device Manager 8.7.9-01から8.8.6-00
HA Command Suite Configuration Manager REST API 10.9.1-00以下

対処方法

ストレージ制御ソフトDKCMAIN:93-06-83-40/00以降を適用してください。
HA Device Manager 8.8.6-01以降を適用してください。
HA Command Suite Configuration Manager REST API 10.9.2-01以降を適用してください。

https://www.support.nec.co.jp/View.aspx?NNoClear=on&id=3140108399
※サポートポータルへは、ログインが必要です。

RETRIEEM

対象となる製品のバージョン

すべてのバージョン

対処方法

最新バージョンにて修正済みです。

参考情報

The Apache Software Foundation 
https://lists.apache.org/thread/4xl4l09mhwg4vgsk7dxqogcjrobrrdoy
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85

JVN
https://jvn.jp/vu/JVNVU91253151/

更新情報

2024/10/30
RETRIEEM を登録しました。
2024/08/30
iStorage Vシリーズ を登録しました。
2024/02/22
NEC 自動応答 を登録しました。
2023/11/17
EnterpriseIdentityManager, ActSecureポータル を登録しました。
2023/09/01
ESMPRO/ServerManager, WebSAM IT Process Management を登録しました。
2023/06/27
CONNEXIVE PF, NEC Information Assessment System を登録しました。
2023/04/21
NEC Advanced Analytics Platform Modeler, NeoFace Monitor, WebOTX を登録しました。