【活用ガイド】

JVNDB-2020-001757

Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

* HTTP Request Smuggling (CWE-444) - CVE-2020-1935、CVE-2019-17569
 * Apache Tomcat が無効な Transfer-Encoding ヘッダーを誤って処理したリバースプロキシの配下にある場合 HTTP Request Smuggling 攻撃を受ける可能性があります。

* 不適切な認可処理 (CWE-285) - CVE-2020-1938
 * Apache JServ Protocol (AJP) は Apache httpd が受け付けたリクエストを Apache Tomcat に連携する際に使用されており、デフォルトで有効な設定となっています。AJP ポートにアクセスが可能な場合、任意のリクエストを送信される可能性があります。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat
日立
  • Hitachi IT Operations Director
  • Job Management Partner 1/IT Desktop Management - Manager
  • Job Management Partner 1/IT Desktop Management 2 - Manager
  • Job Management Partner 1/IT Service Level Management - Manager
  • JP1/Automatic Job Management System 3 - Manager
  • JP1/Integrated Management - Service Support
  • JP1/Integrated Management - Service Support Advanced Edition
  • JP1/Integrated Management - Service Support Starter Edition
  • JP1/IT Desktop Management - Manager
  • JP1/IT Desktop Management 2 - Manager
  • JP1/IT Desktop Management 2 - Operations Director
  • JP1/IT Desktop Management 2 Smart Device Manager
  • JP1/IT Service Level Management - Manager
  • JP1/Navigation Platform
  • JP1/Navigation Platform for Developers
  • JP1/Performance Management - Manager
  • JP1/Performance Management - Web Console
  • JP1/Service Level Management - Manager
  • JP1/Service Support
  • JP1/Service Support Starter Edition
  • JP1/SNMP System Observer

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

CVE-2020-1935、CVE-2019-17569

* 細工された HTTP ヘッダを含む HTTP リクエストを処理することで、情報を改ざんされるなどの可能性があります

CVE-2020-1938

* Apache Tomcat の設定によって影響は異なりますが、WEB-INF や META-INF、または ServletContext.getResourceAsStream() が到達可能ディレクトリ配下の任意のファイルを読み取られる可能性があります。また、Web アプリケーションがファイルのアップロードおよび保存を許可している場合に第三者に任意のコードを実行される可能性があります。
対策

CVE-2020-1935、CVE-2020-1938、CVE-2019-17569
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。

* Apache Tomcat 9.0.31
* Apache Tomcat 8.5.51
* Apache Tomcat 7.0.100

CVE-2020-1938
[ワークアラウンドを実施する]
次の製品についてはサポートが終了しており、修正プログラムが提供されません。

* NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320S、NSA325 および NSA325v2

次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。


* server.xml から AJP Connector の設定を削除する
* AJP ポートへの接続を制限する
 * ファイアウォールの設定
 * AJP コネクタに明示的にアドレスを設定する
 * AJP 接続の認可設定を行う
ベンダ情報

Apache Software Foundation 日本電気 日立
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-1935
  2. CVE-2020-1938
  3. CVE-2019-17569
参考情報

  1. JVN : JVNVU#94679920
  2. JVN : JVNVU#96012689
  3. JPCERT 注意喚起 : JPCERT-AT-2020-0009
更新履歴

  • [2020年02月26日]
      掲載
  • [2020年08月06日]
      ベンダ情報:Hitachi Software Vulnerability Information (hitachi-sec-2020-124) を追加 
      ベンダ情報:ソフトウェア製品セキュリティ情報 (hitachi-sec-2020-124) を追加
  • [2021年02月16日]
      影響を受けるシステム:内容を更新
      ベンダ情報:Hitachi Software Vulnerability Information (hitachi-sec-2021-107) を追加 
      ベンダ情報:ソフトウェア製品セキュリティ情報 (hitachi-sec-2021-107) を追加
  • [2021年07月08日]
      参考情報:JVN (JVNVU#96012689) を追加
  • [2021年07月15日]
      ベンダ情報:日立 (hitachi-sec-2021-121) を追加
  • [2021年08月10日]
      ベンダ情報:日本電気 (Apache Tomcat の複数の脆弱性に対するアップデート) を追加