キヤノンITソリューションズ株式会社
サポート情報 (法人向けサーバー・クライアント用製品)
  • 文字サイズ変更
  • S
  • M
  • L
  • No : 16522
  • 公開日時 : 2020/09/17 15:41
  • 印刷

Apache Tomcat で報告されている脆弱性への対応について

回答

ここでは、Apache Tomcat の脆弱性(CVE-2020-1938)への対応についてご案内しています。
 
脆弱性(CVE-2020-1938) では、Apache JServ Protocol (AJP、ポート8009) における Attribute の取り扱いに問題があり、悪用された場合、遠隔の第三者が Apache JServ Protocol (AJP、ポート8009)を介し情報を窃取するなどの可能性があります。
ESET社より案内がされていますので、以下のページをご確認ください。
(リンクをクリックすると、ESET社のWebサイト(英語)が別ウインドウで開きます。)
 
 
ESET製品で脆弱性の影響を受けるプログラムと、それに伴う対応策については、以下の通りです。
 
 
< 脆弱性のある Apache Tomcat のバージョン >
  • 9.0.0.M1 から 9.0.30
  • 8.5.0 から 8.5.50
  • 7.0.0 から 7.0.99
 
< 対象プログラム >
 
上記の、< 脆弱性のある Apache Tomcat のバージョン >を以下のクライアント管理用プログラムでご利用の場合、脆弱性の影響を受けます。
下表をご確認の上、< 対応策 >をご検討ください。
 
ご利用のプログラム オールインワンインストーラーによるインストール コンポーネントプログラムによるインストール
ESET Remote Administrator V6.5
影響を受けません。(※)
影響を受けます。
ESET Security Management Center V7.0
ESET Security Management Center V7.1.28.0
影響を受けます。
 
(※) オールインワンインストーラーでインストールした場合は、Apache JServ Protocol (AJP、ポート8009)を許可する設定が存在しないため影響を受けません。
 
< 対応策 >
 
2020年4月2日に、Apache Tomcat の脆弱性が修正されたバージョンを含むオールインワンインストーラーを、ESET Security Management Center V7.1.28.1 として公開しました。
オールインワンインストーラーを使用して、ESET Security Management Center V7.1.28.1 以降へバージョンアップしてください。
プログラムはユーザーズサイトに公開されています。
 
 
 
管理するクライアント端末や動作要件などで、V7.1.28.1 以降へバージョンアップできない場合は、以下の3つの策のうちいずれか1つの方法を実施してください。
  • Apache Tomcat のみを手動でバージョンアップする

    Apache Software Foundation より、脆弱性の問題を修正したバージョンが提供されています。
    以下のバージョンへ、手動でバージョンアップしてください。
     
    ・9.0.31
    ・8.5.51
    ・7.0.100
※ Apache Tomcat を手動でバージョンアップすると、今後、オールインワンインストーラー、または、コンポーネントアップグレードタスクで、クライアント管理用プログラムをバージョンアップできなくなりますのでご注意ください。
  • Apache JServ Protocol (AJP)ポート(8009)をブロックする

    クライアント管理用プログラムをインストールしているサーバー環境のファイアーウォールの設定から、Apache JServ Protocol (AJP)ポート(8009)をブロックしてください。
     
  • JPコネクタを無効にする

    Apache Tomcat のフォルダー内にある「server.xml」内の、以下の該当箇所をコメントアウトしてください。
Connector port=“8009” protocol=“AJP/1.3” redirectPort=“8443” /
 
 
プログラム : 
ESET Remote Administrator, ESET Security Management Center
プラットフォーム(OS) : 
Windows Server, Linux Server

【 より良いサポート情報のご提供のため、アンケートにご協力ください! 】このQ&Aは役に立ちましたか?

ご意見・ご感想をお寄せください。

関連Webサイト

ユーザーズサイト
マルウェア情報局