概要
Apache Tomcat には、次の脆弱性が存在します。
JVNVU#96136392
CVE-2021-24122
WebOTX Application Serverでは、Servlet/JSPエンジンとしてTomcatをベースにしたWebコンテナを提供しています。
WebOTX Application Serverは、上記Apache Tomcatの脆弱性の影響があります。
影響のある製品
次の製品が該当し、それらがサポートするWindows OSで影響があります。
【CVE-2021-24122】
- WebOTX Application Server Express V9.1~V9.4 (※)
- WebOTX Application Server Standard V9.2~9.4
- WebOTX Application Server Enterprise V9.2~9.6
- WebOTX Developer V9.1~V9.6
- WebOTX Application Server Express V10.1~V10.3 (※)
- WebOTX Application Server Standard V10.1~V10.3
- WebOTX Developer V10.1~V10.3
WebOTX Enterprise Service Bus V9.2~V9.3、V10.1、V10.3および、WebOTX Portal V9.1、V9.3、V10.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
【CVE-2021-24122】
[脆弱性に該当する条件]
次の条件を全て満たす場合に、本脆弱性の影響を受ける可能性があります。
- WebOTXを構築している環境がWindowsである
- NTFSファイルシステムを利用している
- 外部からアクセス可能な静的ファイル等のリソースをアプリケーション内に持っている
[脆弱性の影響]
セキュリティ制約を回避したり、JSP のソースコードを表示される可能性があります。
対処方法
WebOTX V10.30(Windows版/Linux版/HP-UX版) V10.20(Linux版)については【CVE-2021-24122】の対処を行ったパッチを提供しております。
上記公開済みパッチについても、より新しいパッチが公開されている場合がありますのでご確認ください。
その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合は、NECサポートポータル経由でお問い合わせください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
【CVE-2021-24122】
WebOTXの設定等での回避方法はありませんが、WAF(Web Application Firewall)で未知のIPアドレスからのリクエストを遮断するなどの設定を行う事で回避可能です。
関連情報
本脆弱性問題の詳細は、以下のURLを参照してください。
更新履歴
2021/02/05 初版
2022/03/04 第2版 対処方法にV10.30、V10.20のパッチ公開情報を追加
2022/05/13 第3版 対処方法にV10.30.00.03のパッチ公開情報を追加
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。