Apache Tomcat の脆弱性について(CVE-2020-1938)

製品ブランド:

SVF

SPA

Dr.Sum

MotionBoard

公開日時:

2020/03/23 17:00

更新日時:

2021/05/10 10:45

記事番号:

000016532

対象製品

製品ブランド 対象製品 バージョン
SVF SVF Web Designer 9.2~10.0
SVF Java Products 関連 9.0~10.0
Report Director Enterprise
Universal Connect/X
SVF StraForm 1.7
SVF StraForm Volc 1.7
SPA SPA(旧:SVF PDF Archiver) 9.2 ~10.3
SVF PDF Loader 9.2
Dr.Sum(旧:Dr.Sum EA) Dr.Sum TextOLAP 5.0~5.1
Dr.Sum EA TextOLAP 4.0~5.1
Dr.Sum Datalizer 5.0~5.1
Dr.Sum EA Datalizer 4.1~5.1
Dr.Sum Connect 5.0~5.1
Dr.Sum EA Connect 3.0~4.1
MotionBoard MotionBoard 4.1、5.0、5.5、6.0
MotionBoard for Dr.Sum 6.0
MotionBoard for Dr.Sum EA 4.1、5.0、5.5

内容

Apache Software Foundation が提供するApache Tomcat において、次の脆弱性が発見されました。
SVF・SPA・Dr.Sum・MotionBoard製品において脆弱性の影響を受ける可能性があります。

 ・意図しないファイルを読み込んでしまう脆弱性(CVE-2020-1938)
  ⇒悪意のある第三者が AJP(Apache JServ Protocol)リクエストを送信し、Web アプリケーションのルートディレクトリに
   ある任意のファイルを読み取られる可能性があります。
   Web アプリケーションがファイルのアップロードや保存を許可している場合等では、
   遠隔の攻撃者により任意のコードが実行される可能性があります。

【脆弱性対象となるTomcatのバージョン】
 Apache Tomcat 7.0.0 から 7.0.99
 Apache Tomcat 8.5.0 から 8.5.50
 Apache Tomcat 9.0.0.M1 から 9.0.30

参考(外部サイト):
 ・ IPA
   Apache Tomcat における脆弱性(CVE-2020-1938)について
 

SVF・SPA製品に対する影響と対応方法

【影響

CVE-2020-1938 の影響を受ける可能性があるSVF製品は、以下のとおりです。

対象製品   バージョン
SVF Web Designer 9.2~10.0
SVF Java Products 関連 9.0~10.0
Report Director Enterprise 9.0~10.0
Universal Connect/X 9.0~10.0
SVF StraForm 1.7
SVF StraForm Volc 1.7
SPA(旧:SVF PDF Archiver) 9.2~10.x
SVF PDF Loader 9.2

 

【回避方法】

AJPプロトコルを使用していない場合
[製品インストールフォルダ]/apache-tomcat/conf/server.xmlをテキストエディタで開き、「protocol="AJP/1.3"」とあるConnectorをコメントアウトします。
変更後、製品の各サービスを再起動してください。

AJPプロトコルを使用している場合
接続可能なIPアドレスを指定(例えばループバックIPアドレス127.0.0.1)し、安全なサーバー以外から接続できないようにブロックしてください。
 

【今後の製品の対応

製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。

対象製品   バージョン 対応時期
SVF Web Designer 9.2 Ver.9.2 Service Pack9にて対応済
SVF Java Products 関連
Report Director Enterprise
Universal Connect/X
SVF Web Designer 10.0 Ver.10.1にて対応済
SVF Java Products 関連
Report Director Enterprise
Universal Connect/X
SPA(旧:SVF PDF Archiver) 9.3 対応時期が決定した後、本ページにてご案内します
10.0 対応時期が決定した後、本ページにてご案内します

 

Dr.Sum製品に対する影響

【影響
CVE-2020-1938 の影響を受ける可能性があるDr.Sum 製品とその対応方法は、以下のとおりです。
なお、Dr.Sum Connect、Dr.Sum EA Connectに関しては、影響の有無を確認中です。

対象製品   バージョン
Dr.Sum Datalizer 5.0~5.1
Dr.Sum EA Datalizer 4.1~5.1


Dr.Sum TextOLAPおよびDr.Sum EA TextOLAPに関しては、AJPを使用していないため影響を受けません。

【対応方法

他のWebサーバー等からの連携等でAJPを使用している場合
ファイアウォールなどを使用して、AJPで使用しているポートにWebサーバー等以外から接続できないようにブロックしてください。

他のWebサーバー等からの連携等でAJPを使用していない場合(標準)
AJPを無効にします。server.xmlをテキストエディタで開き、「protocol="AJP/1.3"」とあるConnectorをコメントアウトします。
変更後、Datalizer Serverの各サービスの再起動が必要です。

Datalizerで修正対象となる(AJPが有効になっている)server.xmlは以下のとおりです。
 

  バージョン Server.xml AJPのポート
Ver.4.1~4.2 [インストールフォルダ]\tomcat\instances\sms\conf
[インストールフォルダ]\tomcat\instances\sps\conf
8349
8109
8209
Ver.4.0~5.1 [インストールフォルダ]\tomcat\instances\sps\conf 8109

 

MotionBoard製品に対する影響

【影響

CVE-2020-1938 の影響を受ける可能性があるMotionboard製品は、次のとおりです。

対象製品   バージョン
MotionBoard 4.1、5.0、5.5、6.0
MotionBoard for Dr.Sum 6.0
MotionBoard for Dr.Sum EA 4.1、5.0、5.5


【回避方法

他のWebサーバー等からの連携等でAJPを使用している場合は、ファイアウォールなどを使用して、AJPで使用しているポートにWebサーバー等以外から接続できないようにブロックしてください。
 

【今後の製品の対応

製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。

対象製品   バージョン 対応バージョン
MotionBoard 6.0

Ver.6.1(2020年6月1日リリース予定)にて対応予定

Ver.6.0 でのパッチリリースについては、現在検討中です。
(方針が決まり次第、本ページを更新します)

MotionBoard for Dr.Sum

 

更新履歴

更新日 概要
2020/03/23 公開
2020/08/07 Ver.9.2 SP9の対応状況を更新しました
2020/08/21 SPA の対応時期を、Ver.9.3 SP8、Ver.10.4対応予定から変更しました。
2021/05/10 Ver.10.1の対応状況を更新しました