ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] Apache Tomcatにおける脆弱性(JVNVU#96390265)による影響と対策について


概要

Apache Tomcat には、次の脆弱性が存在します。

JVNVU#96390265

CVE-2020-13934
CVE-2020-13935

WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。


影響のある製品

【CVE-2020-13934】

次の製品が該当し、それらがサポートする全てのOSで影響があります。

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3

V10.1については、WebOTX Media V10 Release 2以降のメディアからインストールした場合に影響があります。
WebOTX Media V10 Release 1のメディアからをインストールした場合(詳細バージョン 10.10.00.00)は影響ありません。

(※)WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1にバンドルされているWebOTX Application Server Expressを使用している場合も該当します。

【CVE-2020-13935】

WebOTX Application Server Express V9.1~V9.4 (※)
WebOTX Application Server Standard V9.2~V9.4
WebOTX Application Server Enterprise V9.2~V9.6
WebOTX Developer V9.1~V9.6

WebOTX Application Server Express V10.1~V10.3 (※)
WebOTX Application Server Standard V10.1~V10.3
WebOTX Developer V10.1~V10.3
WebOTX OLF/TP Connect for Container V10.3

(※)WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、 WebOTX Portal V9.1、V9.3、V10.1にバンドルされている WebOTX Application Server Expressを使用している場合も 該当します。


詳細

【CVE-2020-13934】
[脆弱性に該当する条件]
Javaベースの内蔵WebサーバでHTTP/2を利用している場合に、本脆弱性の影響を受ける可能性があります。

[脆弱性の影響]
遠隔の第三者から、h2c direct connection による HTTP/2 へのアップグレードの要求が大量に行われると、ヒープを過剰に消費するサービス運用妨害(DoS)攻撃を受ける可能性があります。

【CVE-2020-13935】
[脆弱性に該当する条件]
Javaベースの内蔵WebサーバのHTTPリスナのtypeをNIO(New IO)に変更し、
このHTTPリスナをWebSocketとして利用している場合に、本脆弱性の影響を受ける可能性があります。

[脆弱性の影響]
遠隔の第三者からWebSocketフレームの無効なペイロード長の通信が行われると、CPU使用率の過剰消費が発生するサービス運用妨害(DoS)攻撃を受ける可能性があります。


対処方法

WebOTX V10.30(Windows版/Linux版/HP-UX版) V10.20(Linux版)については【CVE-2020-13934】【CVE-2020-13935】の対処を行ったパッチを提供しております。

上記公開済みパッチについても、より新しいパッチが公開されている場合がありますのでご確認ください。

その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

【CVE-2020-13934】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う事で回避可能です。

【CVE-2020-13935】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う事で回避可能です。


関連情報

本脆弱性問題の詳細は、以下のURLを参照してください。

  • JPCERT/CC

Japan Vulnerability Notes JVNVU#96390265

https://jvn.jp/vu/JVNVU96390265

  • CVE-2020-13934

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13934

  • CVE-2020-13935

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13935


更新履歴

2020/08/14 初版
2020/08/26 第2版 影響のある製品、対象製品に"WebOTX OLF/TP Connect for Container V10.3"を追加
2022/03/25 第3版 対処方法にV10.30、V10.20のパッチ公開情報を追加
2022/05/13 第4版 対処方法にV10.30.00.03のパッチ公開情報を追加


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V9.1~V10.3
品名: WebOTX Application Server Standard V9.2~V10.3
品名: WebOTX Application Server Enterprise V9.2~V9.6
品名: WebOTX Developer V9.1~V10.3
品名: WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3
品名: WebOTX Portal V9.1、V9.3、V10.1
品名: WebOTX OLF/TP Connect for Container V10.3
  • コンテンツID: 3010103146
  • 公開日: 2020年08月14日
  • 最終更新日:2022年05月13日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。