ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache Tomcat における複数の脆弱性(JVNVU#91880022)への影響と対策について


概要

JVNVU#91880022において、次の3つのApache Tomcatの脆弱性が公開されました。

CVE-2021-30639、CVE-2021-30640、CVE-2021-33037

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、CVE-2021-33037のApache Tomcatの脆弱性の影響があります。

CVE-2021-30640については、該当脆弱性のソースのJNDI Realmは、WebOTXでは使用していないため影響ありません。

CVE-2021-30639については、既存のWebOTXで採用しているTomcatのバージョンに該当しないため影響ありません。


影響のある製品

次の製品が該当し、それらがサポートする全てのOSで影響があります。

【CVE-2021-33037】

次の製品バージョンで影響があります。
WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP Connect for Container V10.3

(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1、V10.4
にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。


詳細

【CVE-2021-33037】

[脆弱性に該当する条件]
Javaベースの内蔵Webサーバ(HTTP/1.x)を利用しており、次のいずれかの条件を満たす場合に、本脆弱性の影響を受ける可能性があります。

・クライアントがHTTP/1.0レスポンスのみを指定している
・チャンク形式のリクエストである

[脆弱性の影響]
クライアントがHTTP/1.0応答のみを受け付けると指定していた場合にtransfer-encodingヘッダを無視してしまうため、不正なリクエスト送信される可能性があります。
また、チャンク形式のリクエストが送信された場合、エンコーディングの終端が正しく判定されない可能性があります。


対処方法

製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問いあわせください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

【CVE-2021-33037】
次のいずれかの対処が可能です。

・Javaベースの内蔵WebサーバでHTTP/2を利用する
(※V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合のみ可能)
・WebOTX Webサーバ等の外部Webサーバを利用する
・WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う


関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

  • JPCERT/CC

Japan Vulnerability Notes JVNVU#91880022

https://jvn.jp/vu/JVNVU91880022/

  • CVE-2021-33037

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33037

  • CVE-2021-30640

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30640

  • CVE-2021-30639

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30639


更新履歴

2021/8/20 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V10.1~V10.4
品名: WebOTX Application Server Standard V10.1~V10.4
品名: WebOTX Developer V10.1~V10.4
品名: WebOTX OLF/TP Connect for Container V10.3
  • コンテンツID: 3010103576
  • 公開日: 2021年08月20日
  • 最終更新日:2021年08月20日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。