対象製品
| 製品ブランド | 対象製品 | バージョン |
| SVF | SVF Web Designer | 9.2~10.2 |
| SVF Java Products 関連 | 9.0~10.2 | |
| Report Director Enterprise | ||
| Universal Connect/X | ||
| invliceAgent(旧:SPA) | invoiceAgent 文書管理 SPA(旧:SVF PDF Archiver) |
9.3 ~10.8.0 |
| Dr.Sum(旧:Dr.Sum EA) | Dr.Sum Server Excel Extractor | 5.1/5.5/5.6 |
| Dr.Sum TextOLAP AppServer | 5.1 | |
| Dr.Sum Data Funnel | 5.1 | |
| Dr.Sum Datalizer | 5.0/5.1 | |
| MotionBoard | MotionBoard | 6.0 以降 |
| MotionBoard for Dr.Sum | 6.0 以降 |
内容
Apache Software Foundation が提供するApache Tomcat において、次の脆弱性が発見されました。
SVF・invoiceAgent(旧:SPA)・Dr.Sum・MotionBoard製品において脆弱性の影響を受ける可能性があります。
・Apache Tomcatには、無効なHTTPヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。
(想定される影響:Tomcatは不正なヘッダを含むリクエストを拒否しないため、Tomcatをリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。)
【脆弱性対象となるTomcatのバージョン】
- Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
- Apache Tomcat 8.5.0から8.5.82までのバージョン
参考(外部サイト):
・ JVNVU
JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題 
SVF製品の対応方法
【回避方法】
%FIT_PRODUCTS_BASE%/apache-tomcat/conf/server.xmlをテキストエディタで開き、Connectorタグに以下の赤字の「rejectIllegalHeaderName="true"」を追記します。変更後、製品の各サービスを再起動してください。
| <Connector port="44090" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" rejectIllegalHeaderName="true"/> |
【今後の製品の対応】
製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。
| 対象製品 | バージョン | 対応時期 |
| SVF Web Designer | 9.2 |
2022/12/15更新: Java7以上を使用しているVer.9.2 Service Pack10の環境にTomcat入れ替えモジュールを適用してください。
|
| SVF Java Products 関連 | ||
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SVF Web Designer | 10.0~10.2 | Ver.10.3(リリース時期未定)にて対応予定 |
| SVF Java Products 関連 | ||
| Report Director Enterprise | ||
| Universal Connect/X |
invoiceAgent(旧:SPA)製品の対応方法
| 対象製品 | バージョン | 対応時期 |
| invoiceAgent(旧:SPA) | 9.3 |
【2023/1/23更新】
|
| 10.0~10.8.0 |
Ver.10.8.1にて対応しています。
【2023/1/13追記】 直近にVer.10.8.1へアップデートできないお客様はTomcat入れ替えモジュールを適用してください。 |
Dr.Sum製品の対応方法
【回避方法】
対象製品にあるtomcat\conf\server.xml をテキストエディタで開き、Connectorタグに以下の赤字の「rejectIllegalHeader="true"」を追加します。変更後、製品の各サービスを再起動してください。ExcelExtractorについては、変更後、ExcelExtractorを再起動してください。
※<Connector>セクションであればどの部分に追加いただいても問題ありません。
例:(Excel Extractor)C:\DrSum56\AdminTools\extractor\system\tomcat\conf\server.xml
※ExceclExtractorは、変更後、ExcelExtractor自体を再起動させてください。
| <Connector protocol="HTTP/1.1" connectionTimeout="20000" maxKeepAliveRequests="2000" port="8717" ・・・ server="Dr.Sum 5.6 Excel Extractor" rejectIllegalHeader="true" /> |
例:(TextOLAP) <インストールルート>\AppServer\appserver\tomcat\conf\server.xml
※例:サービス名:EATO51AppServer(Dr.Sum TextOLAP 5.1 AppServer)
| <Connector port="8324" protocol="HTTP/1.1" connectionTimeout="20000" URIEncoding="UTF-8" redirectPort="8443" rejectIllegalHeader="true" /> |
例:(Datafunnel Server) <インストールルート>\Server\tomcat\conf\server.xml
※例:サービス名:FNL51Server(Dr.Sum Data Funnel 5.1 Server)
| <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" rejectIllegalHeader="true" /> <Connector |
例:(Datafunnel HttpAgent) <インストールルート>\HttpAgent\tomcat\conf\server.xml
※例:サービス名:FNL51HttpAgent(Dr.Sum Data Funnel 5.1 Http Agent)
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" rejectIllegalHeader="true" /> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" rejectIllegalHeader="true" /> |
例:(Datafunnel OpcAgent) <DatafunnelOpcAgentインストールルート>\OpcuaAgent\tomcat\conf\server.xml
※例:サービス名:FNL51OpcUaAgentServer(Dr.Sum Data Funnel 5.1 OPC UA Agent)
| <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" rejectIllegalHeader="true" /> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" rejectIllegalHeader="true" /> |
例:(Datalizer) <インストールルート>\tomcat\instances\sps\conf\server.xml
※例:サービス名:d51sps(Datalizer 5.1 Server)
| <Connector port="8180" protocol="HTTP/1.1" connectionTimeout="20000" maxPostSize="-1" redirectPort="8443" URIEncoding="ISO-8859-1" rejectIllegalHeader="true" /> <Connector port="8109" protocol="AJP/1.3" redirectPort="8443" tomcatAuthentication="false" URIEncoding="ISO-8859-1" rejectIllegalHeader="true" /> |
【今後の製品の対応】
製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。
| 対象製品 | 対応時期 |
| Dr.Sum | Ver. 5.6 以降の次期マイナーバージョンアップ(リリース時期未定)にて対応予定 |
※Dr.Sum EA 4.0/4.1/4.2 の製品群(Datalizer/DataLoader/TextOLAP等。各SP含む)は、本脆弱性の影響を受けません。
MotionBoard製品の対応方法
【回避方法】
対象製品にあるtomcat\conf\server.xml をテキストエディタで開き、Connectorタグに以下の赤字の「rejectIllegalHeader="true"」を追加します。変更後、MotionBoardのサービスを再起動してください。
例: <MotionBoard6xインストールフォルダ>\system\tomcat\conf\server.xml
| <Connector protocol="HTTP/1.1" connectionTimeout="20000" maxKeepAliveRequests="2000" port="8787" ・・・ server="MotionBoard 6.3" rejectIllegalHeader="true" /> |
※<Connector>セクションであればどの部分に追加いただいても問題ありません。
※ApacheやIISと連携している場合には「protocol="AJP/1.3"」の「Connector」もアクティブになっている可能性がありますので同様に追加してください。
【今後の製品の対応】
製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。
| 対象製品 | バージョン | 対応時期 |
| MotionBoard | 6.3 | 2022/12/21更新: 2022/12/15にリリースしました Ver. 6.3.00.0016 には本対応が含まれておりません。 上記の「回避方法」にて対応いただくか、Ver. 6.4(時期未定)までお待ちください。 Ver.6.3.00.0016 以降にバージョンアップしてください。 |
更新履歴
| 更新日 | 概要 |
| 2023/1/23 | SPA Ver.9.3の対応を更新しました。 |
| 2023/1/13 | invoiceAgent Ver.10.0~10.8の環境に対するTomcat入れ替えモジュールを公開しました。 |
| 2022/12/21 | MotionBoard Ver.6.3 の対応に誤りがあったため更新しました。 |
| 2022/12/19 | invoiceAgent Ver.10の対応を更新しました。 |
| 2022/12/16 | 「Dr.Sum製品の対応方法」を更新しました。 |
| 2022/12/15 | SVF Ver.9.2の対応を更新しました。 MotionBoard Ver.6.3 の対応を更新しました。 |
| 2022/12/13 | 公開 |