Apache Tomcat の複数の脆弱性について(CVE-2019-12418,CVE-2019-17563)

製品ブランド:

SVF

SPA

Dr.Sum

MotionBoard

公開日時:

2020/02/27 14:00

更新日時:

2021/05/10 10:42

記事番号:

000016496

対象製品

製品ブランド 対象製品 バージョン
SVF SVF Web Designer 9.2~10.0
SVF Java Products 関連 9.0~10.0
Report Director Enterprise
Universal Connect/X
SVF StraForm(旧:StraForm サーバーベース) 1.5・1.7
SVF StraForm Volc(旧:StraForm Volc) 1.0・1.7
SPA SPA(旧:SVF PDF Archiver) 9.3 ~10.3
SVF PDF Loader 9.2
Dr.Sum(旧:Dr.Sum EA) Dr.Sum TextOLAP 5.0~5.1
Dr.Sum EA TextOLAP 4.0~5.1
Dr.Sum Datalizer 5.0~5.1
Dr.Sum EA Datalizer 4.1~5.1
Dr.Sum Connect 5.0~5.1
Dr.Sum EA Connect 3.0~4.1
MotionBoard MotionBoard 4.1~6.0
MotionBoard for Dr.Sum 5.7~6.0
MotionBoard for Dr.Sum EA 4.1~6.0

内容

Apache Software Foundation が提供するApache Tomcat において、次の複数の脆弱性が発見されました。
SVF・SPA製品において、CVE-2019-17563の影響を受ける可能性があります。
なお、CVE-2019-12418の影響を受ける弊社製品はありません。

 ・キャッシュからの情報漏えいに関する脆弱性(CVE-2019-12418)
  ⇒情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
 ・セッションの固定化の脆弱性が存在する(CVE-2019-17563)
  ⇒情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

 

【脆弱性対象となるTomcatのバージョン】
 CVE-2019-12418
  Apache Tomcat 9.0.0.M1 から 9.0.28 まで
  Apache Tomcat 8.5.0 から 8.5.47 まで
  Apache Tomcat 7.0.0 から 7.0.97 まで

 CVE-2019-17563
  Apache Tomcat 9.0.29 までの 9.0.0.M1
  Apache Tomcat 8.5.0 から 8.5.49
  Apache Tomcat 7.0.0 から 7.0.98


参考(外部サイト):
 ・ JVNDB
   Apache Tomcat におけるキャッシュからの情報漏えいに関する脆弱性(CVE-2019-12418)
   Apache Tomcat におけるセッションの固定化の脆弱性(CVE-2019-17563)
 

SVF・SPA製品に対する影響と対応方法

【影響

CVE-2019-17563の影響を受ける可能性があるSVF製品は、以下のとおりです。

対象製品   バージョン
SVF Web Designer 9.2~10.0
SVF Java Products 関連 9.0~10.0
Report Director Enterprise 9.0~10.0
Universal Connect/X 9.0~10.0
SVF StraForm
(旧:StraForm サーバーベース)
1.5~1.7
SVF StraForm Volc(旧:StraForm Volc) 1.7
SPA(旧:SVF PDF Archiver) 10.x
SVF PDF Loader 9.2

 

【対応方法

以下の対応バージョンにて製品に同梱のTomcat を修正済バージョンにアップいたします。

対象製品   バージョン 対応バージョン
SVF Web Designer 9.2 Ver.9.2 Service Pack9にて対応済
SVF Java Products 関連
Report Director Enterprise
Universal Connect/X
SVF Web Designer 10.0 Ver.10.1にて対応済
SVF Java Products 関連
Report Director Enterprise
Universal Connect/X
SVF StraForm
(旧:StraForm サーバーベース)
1.7 サポートにお問い合わせください
SVF StraForm Volc(旧:StraForm Volc) 1.7
SPA(旧:SVF PDF Archiver) 9.3 対応時期が決定後、本ページにてご案内します
10.0 Ver.10.5にて対応済
SVF PDF Loader 9.2 サポートにお問い合わせください

 

Dr.Sum製品に対する影響

Datalizer、TextOLAP、Connect、Visualizer 関連製品 において、本脆弱性の影響がないことを確認しました。

 

MotionBoard製品に対する影響

Motionboard 関連製品において、本脆弱性の影響がないことを確認しました。

更新履歴

更新日 概要
2020/02/27 公開
2020/08/21

【対応方法】に記載の以下の対応時期を更新しました。
・SVF製品 Ver.9.2にて対応済に更新しました。
・SVF Ver.10.1、SPA Ver.9.3、Ver.10の対応時期を修正しました。

2021/02/26 【対応方法】に記載のSPA Ver.10を対応済に更新しました。
2021/05/10 【対応方法】に記載のSVF製品 Ver.10を対応済に更新しました。

お問い合わせ先

各種お問い合わせ]-[製品に関するお問い合わせ]から、お問い合わせください。

入力フォーム「件名」に「Apache Tomcat の複数の脆弱性について(CVE-2019-12418,CVE-2019-17563)」と入力してください。

 

備考

「OSS・セキュリティに関するお知らせ」に情報を公開する基準は、以下のFAQをご参照ください。

サポートサイト「OSS・セキュリティに関するお知らせ」の公開基準について