対象製品
| 製品ブランド | 対象製品 | バージョン |
| SVF | SVF Web Designer | 9.2~10.0 |
| SVF Java Products 関連 | 9.0~10.0 | |
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SVF StraForm(旧:StraForm サーバーベース) | 1.5・1.7 | |
| SVF StraForm Volc(旧:StraForm Volc) | 1.0・1.7 | |
| SPA | SPA(旧:SVF PDF Archiver) | 9.3 ~10.3 |
| SVF PDF Loader | 9.2 | |
| Dr.Sum(旧:Dr.Sum EA) | Dr.Sum TextOLAP | 5.0~5.1 |
| Dr.Sum EA TextOLAP | 4.0~5.1 | |
| Dr.Sum Datalizer | 5.0~5.1 | |
| Dr.Sum EA Datalizer | 4.1~5.1 | |
| Dr.Sum Connect | 5.0~5.1 | |
| Dr.Sum EA Connect | 3.0~4.1 | |
| MotionBoard | MotionBoard | 4.1~6.0 |
| MotionBoard for Dr.Sum | 5.7~6.0 | |
| MotionBoard for Dr.Sum EA | 4.1~6.0 |
内容
Apache Software Foundation が提供するApache Tomcat において、次の複数の脆弱性が発見されました。
SVF・SPA製品において、CVE-2019-17563の影響を受ける可能性があります。
なお、CVE-2019-12418の影響を受ける弊社製品はありません。
・キャッシュからの情報漏えいに関する脆弱性(CVE-2019-12418)
⇒情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
・セッションの固定化の脆弱性が存在する(CVE-2019-17563)
⇒情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
【脆弱性対象となるTomcatのバージョン】
CVE-2019-12418
Apache Tomcat 9.0.0.M1 から 9.0.28 まで
Apache Tomcat 8.5.0 から 8.5.47 まで
Apache Tomcat 7.0.0 から 7.0.97 まで
CVE-2019-17563
Apache Tomcat 9.0.29 までの 9.0.0.M1
Apache Tomcat 8.5.0 から 8.5.49
Apache Tomcat 7.0.0 から 7.0.98
参考(外部サイト):
・ JVNDB
Apache Tomcat におけるキャッシュからの情報漏えいに関する脆弱性(CVE-2019-12418) 
Apache Tomcat におけるセッションの固定化の脆弱性(CVE-2019-17563)
SVF・SPA製品に対する影響と対応方法
【影響】
CVE-2019-17563の影響を受ける可能性があるSVF製品は、以下のとおりです。
| 対象製品 | バージョン |
| SVF Web Designer | 9.2~10.0 |
| SVF Java Products 関連 | 9.0~10.0 |
| Report Director Enterprise | 9.0~10.0 |
| Universal Connect/X | 9.0~10.0 |
| SVF StraForm (旧:StraForm サーバーベース) |
1.5~1.7 |
| SVF StraForm Volc(旧:StraForm Volc) | 1.7 |
| SPA(旧:SVF PDF Archiver) | 10.x |
| SVF PDF Loader | 9.2 |
【対応方法】
以下の対応バージョンにて製品に同梱のTomcat を修正済バージョンにアップいたします。
| 対象製品 | バージョン | 対応バージョン |
| SVF Web Designer | 9.2 | Ver.9.2 Service Pack9にて対応済 |
| SVF Java Products 関連 | ||
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SVF Web Designer | 10.0 | Ver.10.1にて対応済 |
| SVF Java Products 関連 | ||
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SVF StraForm (旧:StraForm サーバーベース) |
1.7 | サポートにお問い合わせください |
| SVF StraForm Volc(旧:StraForm Volc) | 1.7 | |
| SPA(旧:SVF PDF Archiver) | 9.3 | 対応時期が決定後、本ページにてご案内します |
| 10.0 | Ver.10.5にて対応済 | |
| SVF PDF Loader | 9.2 | サポートにお問い合わせください |
Dr.Sum製品に対する影響
Datalizer、TextOLAP、Connect、Visualizer 関連製品 において、本脆弱性の影響がないことを確認しました。
MotionBoard製品に対する影響
Motionboard 関連製品において、本脆弱性の影響がないことを確認しました。
更新履歴
| 更新日 | 概要 |
| 2020/02/27 | 公開 |
| 2020/08/21 |
【対応方法】に記載の以下の対応時期を更新しました。 |
| 2021/02/26 | 【対応方法】に記載のSPA Ver.10を対応済に更新しました。 |
| 2021/05/10 | 【対応方法】に記載のSVF製品 Ver.10を対応済に更新しました。 |
お問い合わせ先
[各種お問い合わせ]-[製品に関するお問い合わせ]から、お問い合わせください。
入力フォーム「件名」に「Apache Tomcat の複数の脆弱性について(CVE-2019-12418,CVE-2019-17563)」と入力してください。
備考
「OSS・セキュリティに関するお知らせ」に情報を公開する基準は、以下のFAQをご参照ください。
サポートサイト「OSS・セキュリティに関するお知らせ」の公開基準について