キキNaviにおける複數の脆弱性対策完了のお知らせ

セキュリティー

2020年3月11日

平素は弊社商品をご愛用いただき誠にありがとうございます。
弊社リモート管理サービス「キキNavi」においてApache tomcatに関する複數の脆弱性が報告されました。
脆弱性に対して3月5日に緊急メンテナンスを実施し、対策を完了いたしました。

-記-

脆弱性について

●CVE-2020-1938
悪意のある第三者がAJP(Apache JServ Protocol)リクエストを送信し、Webアプリケーションのルートディレクトリにある任意のファイルを読み取られる可能性があります。
Webアプリケーションがファイルのアップロードや保存を許可している場合等では、遠隔の攻撃者により任意のコードが実行される可能性があります。

●CVE-2020-1935 及び CVE-2019-17569
Apache Tomcatが無効なTransfer-Encodingヘッダーを誤って処理したリバースプロキシの配下にある場合HTTP Request Smuggling攻撃を受ける可能性があります。
細工されたHTTPヘッダを含むHTTP リクエストを処理することで、情報を改ざんされるなどの可能性があります。

対策と影響について

3月5日にキキNaviの緊急メンテナンスを行い、対策いたしました。
お客様による回避方法や対策の必要はございません。
実際にお客様への影響は発生しておりません。

參考文獻

JVN iPedia - 脆弱性対策情報データベース:
JVNDB-2020-001757

本件に関するお問い合わせはこちら までお願いいたします。