Apache Tomcat の脆弱性(CVE-2022-42252等)について

製品ブランド:

SVF

invoiceAgent(オンプレ版)/SPA

Dr.Sum

MotionBoard

公開日時:

2022/12/13 09:00

更新日時:

2023/01/23 09:15

記事番号:

000023355

対象製品

製品ブランド 対象製品 バージョン
SVF SVF Web Designer 9.2~10.2
SVF Java Products 関連 9.0~10.2
Report Director Enterprise
Universal Connect/X
invliceAgent(旧:SPA) invoiceAgent 文書管理
SPA(旧:SVF PDF Archiver)
9.3 ~10.8.0
Dr.Sum(旧:Dr.Sum EA) Dr.Sum Server Excel Extractor 5.1/5.5/5.6
Dr.Sum TextOLAP AppServer 5.1
Dr.Sum Data Funnel 5.1
Dr.Sum Datalizer 5.0/5.1
MotionBoard MotionBoard 6.0 以降
MotionBoard for Dr.Sum 6.0 以降

内容

Apache Software Foundation が提供するApache Tomcat において、次の脆弱性が発見されました。
SVF・invoiceAgent(旧:SPA)・Dr.Sum・MotionBoard製品において脆弱性の影響を受ける可能性があります。

 ・Apache Tomcatには、無効なHTTPヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。
  (想定される影響:Tomcatは不正なヘッダを含むリクエストを拒否しないため、Tomcatをリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。)
 

【脆弱性対象となるTomcatのバージョン】

  • Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
  • Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
  • Apache Tomcat 8.5.0から8.5.82までのバージョン


参考(外部サイト):
 ・ JVNVU
  JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題

SVF製品の対応方法

【回避方法】

%FIT_PRODUCTS_BASE%/apache-tomcat/conf/server.xmlをテキストエディタで開き、Connectorタグに以下の赤字の「rejectIllegalHeaderName="true"」を追記します。変更後、製品の各サービスを再起動してください。

    <Connector port="44090" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"  rejectIllegalHeaderName="true"/>


【今後の製品の対応

製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。

対象製品   バージョン 対応時期
SVF Web Designer 9.2

2022/12/15更新:

Java7以上を使用しているVer.9.2 Service Pack10の環境にTomcat入れ替えモジュールを適用してください。
Tomcat入れ替えモジュールは以下より入手してください。

SVF Java Products 関連
Report Director Enterprise
Universal Connect/X
SVF Web Designer 10.0~10.2 Ver.10.3(リリース時期未定)にて対応予定
SVF Java Products 関連
Report Director Enterprise
Universal Connect/X

 

invoiceAgent(旧:SPA)製品の対応方法

対象製品   バージョン 対応時期
invoiceAgent(旧:SPA) 9.3

【2023/1/23更新】
Ver.9.3に対しService Pack10以降を適用いただくか、または、Ver.10.8.1以降にバージョンアップしてください。

10.0~10.8.0

Ver.10.8.1にて対応しています。

【2023/1/13追記】

直近にVer.10.8.1へアップデートできないお客様はTomcat入れ替えモジュールを適用してください。

 

Dr.Sum製品の対応方法

【回避方法

対象製品にあるtomcat\conf\server.xml をテキストエディタで開き、Connectorタグに以下の赤字の「rejectIllegalHeader="true"」を追加します。変更後、製品の各サービスを再起動してください。ExcelExtractorについては、変更後、ExcelExtractorを再起動してください。

※<Connector>セクションであればどの部分に追加いただいても問題ありません。


 例:(Excel Extractor)C:\DrSum56\AdminTools\extractor\system\tomcat\conf\server.xml
 ※ExceclExtractorは、変更後、ExcelExtractor自体を再起動させてください。

<Connector
           protocol="HTTP/1.1"
           connectionTimeout="20000"
           maxKeepAliveRequests="2000"
           port="8717"
           ・・・          
           server="Dr.Sum 5.6 Excel Extractor"
           rejectIllegalHeader="true"
/>

 

例:(TextOLAP) <インストールルート>\AppServer\appserver\tomcat\conf\server.xml
 ※例:サービス名:EATO51AppServer(Dr.Sum TextOLAP 5.1 AppServer)

<Connector
           port="8324"
           protocol="HTTP/1.1"
           connectionTimeout="20000"
           URIEncoding="UTF-8"
           redirectPort="8443"
           rejectIllegalHeader="true"
/>

 

例:(Datafunnel Server) <インストールルート>\Server\tomcat\conf\server.xml
 ※例:サービス名:FNL51Server(Dr.Sum Data Funnel 5.1 Server)

<Connector
          port="8080"
          protocol="HTTP/1.1"
          connectionTimeout="20000"
           redirectPort="8443" 
          rejectIllegalHeader="true"
/>

<Connector
           port="8009" 
           protocol="AJP/1.3" 
           redirectPort="8443"
           rejectIllegalHeader="true"
/>

 

例:(Datafunnel HttpAgent) <インストールルート>\HttpAgent\tomcat\conf\server.xml
 ※例:サービス名:FNL51HttpAgent(Dr.Sum Data Funnel 5.1 Http Agent)


<Connector
           port="8080"
           protocol="HTTP/1.1"
           connectionTimeout="20000"
           redirectPort="8443"
           rejectIllegalHeader="true"
/>
<Connector 
           port="8009"
           protocol="AJP/1.3"
           redirectPort="8443"
           rejectIllegalHeader="true"
/>

 

例:(Datafunnel OpcAgent) <DatafunnelOpcAgentインストールルート>\OpcuaAgent\tomcat\conf\server.xml
 ※例:サービス名:FNL51OpcUaAgentServer(Dr.Sum Data Funnel 5.1 OPC UA Agent)

<Connector
           port="8080"
           protocol="HTTP/1.1"
           connectionTimeout="20000"
           redirectPort="8443"
           rejectIllegalHeader="true"
/>

<Connector
           port="8009"
           protocol="AJP/1.3"
           redirectPort="8443"
           rejectIllegalHeader="true"
/>

 

例:(Datalizer) <インストールルート>\tomcat\instances\sps\conf\server.xml
 ※例:サービス名:d51sps(Datalizer 5.1 Server)

<Connector
           port="8180"
           protocol="HTTP/1.1"
           connectionTimeout="20000"
           maxPostSize="-1"
           redirectPort="8443"
           URIEncoding="ISO-8859-1"
           rejectIllegalHeader="true"
/>

<Connector
           port="8109"
           protocol="AJP/1.3"
           redirectPort="8443"
           tomcatAuthentication="false"
           URIEncoding="ISO-8859-1"
           rejectIllegalHeader="true"
/>


 

【今後の製品の対応

製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。

対象製品 対応時期
Dr.Sum Ver. 5.6 以降の次期マイナーバージョンアップ(リリース時期未定)にて対応予定

 ※Dr.Sum EA 4.0/4.1/4.2 の製品群(Datalizer/DataLoader/TextOLAP等。各SP含む)は、本脆弱性の影響を受けません。
 

MotionBoard製品の対応方法

【回避方法

対象製品にあるtomcat\conf\server.xml をテキストエディタで開き、Connectorタグに以下の赤字の「rejectIllegalHeader="true"」を追加します。変更後、MotionBoardのサービスを再起動してください。

 例: <MotionBoard6xインストールフォルダ>\system\tomcat\conf\server.xml

<Connector
           protocol="HTTP/1.1"
           connectionTimeout="20000"
           maxKeepAliveRequests="2000"
           port="8787"
           ・・・
           server="MotionBoard 6.3"
           rejectIllegalHeader="true"
/>

   ※<Connector>セクションであればどの部分に追加いただいても問題ありません。
   ※ApacheやIISと連携している場合には「protocol="AJP/1.3"」の「Connector」もアクティブになっている可能性がありますので同様に追加してください。
 

【今後の製品の対応

製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。

対象製品   バージョン 対応時期
MotionBoard 6.3 2022/12/21更新:
2022/12/15にリリースしました Ver. 6.3.00.0016 には本対応が含まれておりません。
上記の「回避方法」にて対応いただくか、Ver. 6.4(時期未定)までお待ちください。

2022/12/15更新:
Ver.6.3.00.0016 以降にバージョンアップしてください。

 

更新履歴

更新日 概要
2023/1/23 SPA Ver.9.3の対応を更新しました。
2023/1/13 invoiceAgent Ver.10.0~10.8の環境に対するTomcat入れ替えモジュールを公開しました。
2022/12/21 MotionBoard Ver.6.3 の対応に誤りがあったため更新しました。
2022/12/19 invoiceAgent Ver.10の対応を更新しました。
2022/12/16 「Dr.Sum製品の対応方法」を更新しました。
2022/12/15 SVF Ver.9.2の対応を更新しました。
MotionBoard Ver.6.3 の対応を更新しました。
2022/12/13 公開