ページの先頭です。
本文へジャンプする。

本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。

ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
ホーム > 製品 > NEC製品セキュリティ情報 > セキュリティ情報 > 2005年 > NV05-028
ページ共通メニューここまで。

掲載番号:NV05-028
脆弱性情報識別番号:JVN#79314822

Tomcat におけるリクエスト処理に関する脆弱性

概要

Java Servlet と JavaServer Pages のサーバ実装である Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。

<影響を受けるシステム>
- Apache Tomcat 4.x

対象製品

WebOTX Application Server Ver.4.2, Ver.5.1, Ver.5.2, Ver.5.3

  • 影響の有無
    あり
  • 対処方法
    パッチの適用をお願いします。尚、パッチの入手に関しては、以下のWebOTX製品のWebサイトの「重要なお知らせ」を参照していただくか、下記問い合わせ先までお問い合わせください。

    WebOTX 製品Webサイト
    http://www.nec.co.jp/WebOTX/

    重要なお知らせ
    http://www.nec.co.jp/WebOTX/module/

    お問い合わせ先
    e-mail:info@cced.jp.nec.com

    注意事項
    本障害に対するパッチが別途、情報処理推進機構(IPA)から公開されていますが、そのパッチは適用しないでください。
    IPAで公開しているパッチは Tomcat4.1.31 用となっていますが、WebOTXのWebコンテナがベースとしている Tomcat のバージョンとは異なります。また、WebOTX側で独自に機能拡張を行っているためです。

Spectral Wave Manager for MG Series
Spectral Wave U-Node用 Network Element Manager
Spectral Wave HLS 2.4G用 NE-OpS

  • 影響の有無
    あり
  • 対処方法
    Spectral Wave Managerそのものに脆弱性はありませんが、製品の全バージョンにおいて Tomcat 4.x を同梱しています。
    お客様にて「コネクターにAJP(Apache JServ Protocol) 1.3 Connector」を使用される場合は、以下のいずれかの対策が必要となります。

    ・Coyote JK Connector に変更する
    ・Tomcatを 5.xにアップデートする
    ・IPAのパッチを施工する
      http://www.ipa.go.jp/security/vuln/documents/2005/JVN
    _79314822_Tomcat.html#patch


    詳細情報については、担当営業、もしくはSEまでお問い合わせください。

WebSAM SystemManager R2.x

  • 影響の有無
    あり
  • 対処方法
    SystemManagerそのものに脆弱性はありませんが、SystemManager R2.x では Tomcat 4.x を同梱しています。
    コネクターにAJP(Apache JServ Protocol) 1.3 Connectorをお使いの場合は、以下のいずれかの対策をお願いいたします。

    ・Coyote JK Connector に変更する
    ・Tomcatを 5.xにアップデートする(SystemManagerをR3.0にバージョンアップする必要があります)
    ・IPAのパッチを施工する
      http://www.ipa.go.jp/security/vuln/documents/2005/JVN
    _79314822_Tomcat.html#patch


    なお、SystemManager R3.0(2006年6月出荷)からは同梱する Tomcat は 5.x になります。
    詳細情報については、担当営業、もしくはSEまでお問い合わせください。

参考情報

更新情報

2008/04/04
対象製品にあるActiveGlobe WebOTXの製品名をWebOTX Application Serverに変更しました。
WebOTX Application Serverのリンクを更新しました。
2007/11/14
ページをリニューアル。
2006/06/26
Spectral Wave Manager, WebSAM SystemManagerの情報を追加しました。
2005/11/16
ActiveGlobe WebOTXの情報を追加しました。
2005/10/01
新規登録しました。
Copyright NEC Corporation. All rights reserved.