Japan

サイト内の現在位置

Apache TomcatにおけるTLSハンドシェイク処理の不備

掲載番号:NV25-002
脆弱性情報識別番号:JVNVU#72148744

概要

Apache Struts 2には、外部からアクセス可能なファイルの脆弱性(CVE-2023-50164)が存在します。

対象製品

SystemDirector Enterprise

対象となる製品のバージョン

SystemDirector Enterprise for Java
対象モデル: JSF拡張モデル
バージョン: V10.3 ~ V14.1

対処方法

Tomcatを最新のバージョンにアップデートしてください。

CONNEXIVE PF

対象となる製品のバージョン

CONNEXIVE Platform V7.0
※WebOTXの設定で暗号化通信を有効化している場合

対処方法

WebOTXの回避策をご参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104862

WebOTX

対象となる製品のバージョン

・WebOTX Application Server Express V10.1~V11.2 (※)
・WebOTX Application Server Standard V10.1~V11.2
・WebOTX Application Server Standard Extended Option V11.1~V11.2

(※) WebOTX Enterprise Service Bus V10.1/V10.3/V11.1、WebOTX Portal V10.1/V10.4/V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

以下のページをご参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104862

ESMPRO/ServerManager

対象となる製品のバージョン

ESMPRO/ServerManager Ver6.66以前またはVer7.23以前のバージョンでTLS1.3を使用している場合

対処方法

・ Ver.6.66以前のVerやVer.7.23以前のVerについては公開済の OSS対応アップデートモジュールを適用することで対処可能です。
  OSS対応アップデートモジュール(8/26公開済)
  https://www.support.nec.co.jp/View.aspx?id=9010111368

・ またVer.7.23以前のVerについては、公開済の Ver.7.24にアップデートすることでも対処可能です。
  ESMPRO/ServerManager Ver.7.24
  https://www.support.nec.co.jp/View.aspx?id=9010110069

WebSAM Rakuform

対象となる製品のバージョン

Ver6.7.0~7.0.1
※製品モジュールで直接HTTPS通信を処理する場合のみ影響あり

対処方法

Ver7.1にアップデートしてください。

WebSAM vDC Automation

対象となる製品のバージョン

vDCA7.0に同梱されたTomcat

対処方法

以下の手順を参照し、vDCAに同梱されるTomcatをバージョン9.0.100にバージョンアップしてください。
https://sscms.pf.nec.co.jp/SupportPortal/Contents/View.aspx?isIntra=0&isPreview=1&id=3050100771&jpnworldType=0

EnterpriseIdentityManager

対象となる製品のバージョン

該当バージョンのTomcatを利用している場合、影響あり

対処方法

影響を受けないバージョンの Apache Tomcat へアップデートください。

WebSAM NetvisorPro

対象となる製品のバージョン

IMS3.2以上、NFA3.3以上

対処方法

IMS4.0、NFA3.4を適用してください。

参考情報

Apache
https://lists.apache.org/thread/wms60cvbsz3fpbz9psxtfx8r41jl6d4s
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M21
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.25
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.90

JVN
https://jvn.jp/jp/JVN72148744/index.html

JVN iPedia
https://jvndb.jvn.jp/jvndb/JVNDB-2024-000108

更新情報

2025/09/17
WebOTX、ESMPRO/ServerManager, WebSAM Rakuform, WebSAM vDC Automation, EnterpriseIdentityManager, WebSAM NetvisorPro を登録しました。
2025/01/15
SystemDirector Enterprise、CONNEXIVE PF を登録しました。