ここでは、Apache Tomcat の脆弱性（CVE-2020-1938）への対応についてご案内しています。

 

脆弱性（CVE-2020-1938） では、Apache JServ Protocol （AJP、ポート8009） における Attribute の取り扱いに問題があり、悪用された場合、遠隔の第三者が Apache JServ Protocol （AJP、ポート8009）を介し情報を窃取するなどの可能性があります。

ESET社より案内がされていますので、以下のページをご確認ください。

【参考】https://support.eset.com/en/kb7459-secure-your-apache-tomcat-from-cve-2020-1938

（リンクをクリックすると、ESET社のWebサイト（英語）が別ウインドウで開きます。）

 

 

ESET製品で脆弱性の影響を受けるプログラムと、それに伴う対応策については、以下の通りです。

 

 

 

 

上記の、＜ 脆弱性のある Apache Tomcat のバージョン ＞を以下のセキュリティ管理ツールでご利用の場合、脆弱性の影響を受けます。

下表をご確認の上、＜ 対応策 ＞をご検討ください。

ご利用のプログラム	オールインワンインストーラーによるインストール	コンポーネントプログラムによるインストール
ESET Remote Administrator V6.5	影響を受けません。（※）	影響を受けます。
ESET Security Management Center V7.0
ESET Security Management Center V7.1.28.0	影響を受けます。

 

（※） オールインワンインストーラーでインストールした場合は、Apache JServ Protocol （AJP、ポート8009）を許可する設定が存在しないため影響を受けません。

 

 

2020年4月2日に、Apache Tomcat の脆弱性が修正されたバージョンを含むオールインワンインストーラーを、ESET Security Management Center V7.1.28.1 として公開しました。
オールインワンインストーラーを使用して、ESET Security Management Center V7.1.28.1 以降へバージョンアップしてください。
こちらのWebページより、プログラムをダウンロードします。

 

管理するクライアント端末や動作要件などで、V7.1.28.1 以降へバージョンアップできない場合は、以下の3つの策のうちいずれか１つの方法を実施してください。

• Apache Tomcat のみを手動でバージョンアップする
  
  Apache Software Foundation より、脆弱性の問題を修正したバージョンが提供されています。
  以下のバージョンへ、手動でバージョンアップしてください。
   
  ・9.0.31
  ・8.5.51
  ・7.0.100

※ Apache Tomcat を手動でバージョンアップすると、今後、オールインワンインストーラー、または、コンポーネントアップグレードタスクで、セキュリティ管理ツールをバージョンアップできなくなりますのでご注意ください。

Connector port=“8009” protocol=“AJP/1.3” redirectPort=“8443” /