Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性

掲載番号:NV23-005
脆弱性情報識別番号:JVNVU#91253151

概要

Apache Commons FileUpload 1.5より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
Apache Tomcatのファイルアップロード機能にはApache Commons FileUploadパッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

対象製品

NEC Advanced Analytics Platform Modeler

対象となる製品のバージョン

該当のApache Tomcatを利用しているすべてのバージョン

対処方法

tomcatを9.0.X系の最新版にアップデートください。

NeoFace Monitor

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応済みです。

WebOTX

対象となる製品のバージョン

・WebOTX Application Server Express V10.1~V11.1 (※)
・WebOTX Application Server Standard V10.1~V11.1 
・WebOTX Application Server Standard Extended Option V11.1
 
(※) WebOTX Enterprise Service Bus V10.1/V10.3、
    WebOTX Portal V10.1/V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

以下のサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104199

CONNEXIVE PF

対象となる製品のバージョン

CONNEXIVE Platform V7(CONNEXIVEが基盤として利用しているWebOTX Application Serverが本脆弱性の影響を受けるため)

対処方法

本ページのWebOTXの対処を参照ください。

NEC Information Assessment System

対象となる製品のバージョン

V4.1以降

対処方法

V5.1にて対処済みです。

ESMPRO/ServerManager

対象となる製品のバージョン

Ver6:6.48以降(それより前は非該当Tomcat使用)
Ver7:全Ver

対処方法

WebSAM IT Process Management

対象となる製品のバージョン

Ver5.0.5以前のバージョン

対処方法

Ver5.0.8へのバージョンアップ、または製品提供のバージョンアップ手順書でApache Tomcatを9.0.74にアップデートしてください。

EnterpriseIdentityManager

対象となる製品のバージョン

Ver8.2~8.7

対処方法

Apache Tomcatのバージョンアップが必要です。PPサポート窓口へお問い合わせください。

ActSecureポータル

対象となる製品のバージョン

すべてのバージョン

対処方法

最新バージョンにて修正済みです。

NEC 自動応答

対象となる製品のバージョン

v4.3.4

対処方法

最新のバージョンにて対応しております。

参考情報

更新情報

2024/02/22
NEC 自動応答 を登録しました。
2023/11/17
EnterpriseIdentityManager, ActSecureポータル を登録しました。
2023/09/01
ESMPRO/ServerManager, WebSAM IT Process Management を登録しました。
2023/06/27
CONNEXIVE PF, NEC Information Assessment System を登録しました。
2023/04/21
NEC Advanced Analytics Platform Modeler, NeoFace Monitor, WebOTX を登録しました。