JVNDB-2020-006737

JVNDB-2020-006737
Apache Tomcat �ｽﾉゑｿｽ�ｽ�ｽ�ｽ髟｡�ｽ�ｽ�ｽﾌサ�ｽ[�ｽr�ｽX�ｽ^�ｽp�ｽW�ｽQ (DoS) �ｽﾌ脆弱性
�ｽT�ｽv
The Apache Software Foundation �ｽ�ｽ�ｽ�ｽAApache Tomcat �ｽﾌ脆弱性�ｽﾉ対ゑｿｽ�ｽ�ｽA�ｽb�ｽv�ｽf�ｽ[�ｽg�ｽ�ｽ�ｽ�ｽ�ｽJ�ｽ�ｽ�ｽ�ｽﾜゑｿｽ�ｽ�ｽ�ｽB * h2c direct connection �ｽﾉゑｿｽ�ｽ�ｽ�ｽ�ｽ HTTP/2 �ｽﾖのア�ｽb�ｽv�ｽO�ｽ�ｽ�ｽ[�ｽh�ｽ�ｽ�ｽ�ｽ�ｽﾉゑｿｽ�ｽ�ｽ�ｽﾄ、HTTP/1.1 �ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽI�ｽu�ｽW�ｽF�ｽN�ｽg�ｽ�ｽj�ｽ�ｽ�ｽ�ｽ�ｽﾈゑｿｽ�ｽ�ｽ�ｽﾟヒ�ｽ[�ｽv�ｽ�ｽ�ｽﾟ擾ｿｽﾉ擾ｿｽ�ｽ�ｷ�ｽ�ｽ - CVE-2020-13934 * WebSocket �ｽt�ｽ�ｽ�ｽ[�ｽ�ｽ�ｽﾌペ�ｽC�ｽ�ｽ�ｽ[�ｽh�ｽ�ｽ�ｽ�ｽ�ｽK�ｽﾘに鯉ｿｽ�ｽﾘゑｿｽ�ｽ�ｽﾈゑｿｽ - CVE-2020-13935
CVSS �ｽﾉゑｿｽ�ｽ[�ｽ�ｽ�ｽx (CVSS �ｽﾆゑｿｽ?)
CVSS v3 �ｽﾉゑｿｽ�ｽ[�ｽ�ｽ�ｽx �ｽ�ｽ{�ｽl: 7.5 (�ｽd�ｽv) [NVD�ｽl] �ｽU�ｽ�ｽ�ｽ�ｽ�ｽ謨ｪ: �ｽl�ｽb�ｽg�ｽ�ｽ�ｽ[�ｽN �ｽU�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽﾌ包ｿｽ�ｽG�ｽ�ｽ: �ｽ�ｽ �ｽU�ｽ�ｽ�ｽﾉ必�ｽv�ｽﾈ難ｿｽ�ｽ�ｽ�ｽ�ｽ�ｽx�ｽ�ｽ: �ｽs�ｽv �ｽ�ｽ�ｽp�ｽﾒの関与: �ｽs�ｽv �ｽe�ｽ�ｽ�ｽﾌ想�ｽ�ｽﾍ茨ｿｽ: �ｽﾏ更�ｽﾈゑｿｽ �ｽ@�ｽ�ｽ�ｽ�ｽ�ｽﾖの影�ｽ�ｽ(C): �ｽﾈゑｿｽ �ｽ�ｽ�ｽS�ｽ�ｽ�ｽﾖの影�ｽ�ｽ(I): �ｽﾈゑｿｽ �ｽﾂ用�ｽ�ｽ�ｽﾖの影�ｽ�ｽ(A): �ｽ�ｽ CVSS v2 �ｽﾉゑｿｽ�ｽ[�ｽ�ｽ�ｽx �ｽ�ｽ{�ｽl: 5.0 (�ｽx�ｽ�ｽ) [NVD�ｽl] �ｽU�ｽ�ｽ�ｽ�ｽ�ｽ謨ｪ: �ｽl�ｽb�ｽg�ｽ�ｽ�ｽ[�ｽN �ｽU�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽﾌ包ｿｽ�ｽG�ｽ�ｽ: �ｽ�ｽ �ｽU�ｽ�ｽ�ｽO�ｽﾌ認�ｽﾘ要�ｽ�ｽ: �ｽs�ｽv �ｽ@�ｽ�ｽ�ｽ�ｽ�ｽﾖの影�ｽ�ｽ(C): �ｽﾈゑｿｽ �ｽ�ｽ�ｽS�ｽ�ｽ�ｽﾖの影�ｽ�ｽ(I): �ｽﾈゑｿｽ �ｽﾂ用�ｽ�ｽ�ｽﾖの影�ｽ�ｽ(A): �ｽ�ｽ�ｽ�ｽ�ｽI
�ｽe�ｽ�ｽ�ｽ�ｽ�ｽｯゑｿｽV�ｽX�ｽe�ｽ�ｽ

Apache Software Foundation Apache Tomcat 10.0.0-M1 to 10.0.0-M6 �ｽﾜゑｿｽ Apache Tomcat 9.0.0.M1 �ｽ�ｽ�ｽ�ｽ 9.0.36 �ｽﾜゑｿｽ Apache Tomcat 8.5.0 �ｽ�ｽ�ｽ�ｽ 8.5.56 �ｽﾜゑｿｽ Apache Tomcat 7.0.27 �ｽ�ｽ�ｽ�ｽ 7.0.104 �ｽﾜゑｿｽ �ｽ�ｽ�ｽ�ｽ Hitachi Ops Center Common Services (�ｽC�ｽO�ｽﾌ費ｿｽ�ｽﾌゑｿｽ)
�ｽ{�ｽﾆ弱性�ｽﾌ影�ｽ�ｽ�ｽ�ｽ�ｽｯる製�ｽi�ｽﾌ詳細につゑｿｽ�ｽﾄは、�ｽx�ｽ�ｽ�ｽ_�ｽ�ｽｨゑｿｽﾑ参�ｽl�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽm�ｽF�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽB
�ｽz�ｽ閧ｳ�ｽ�ｽ�ｽe�ｽ�ｽ
�ｽz�ｽ閧ｳ�ｽ�ｽ�ｽe�ｽ�ｽ�ｽﾍ各�ｽﾆ弱性�ｽﾉゑｿｽ�ｽﾙなゑｿｽﾜゑｿｽ�ｽ�ｽ�ｽA�ｽ�ｽ�ｽﾌよう�ｽﾈ影�ｽ�ｽ�ｽ�ｽ�ｽｯるお�ｽ�ｽ�ｽ黷ｪ�ｽ�ｽ�ｽ�ｽﾜゑｿｽ�ｽB * �ｽ�ｽ�ｽu�ｽﾌ托ｿｽO�ｽﾒゑｿｽ�ｽ�ｽAh2c direct connection �ｽﾉゑｿｽ�ｽ HTTP/2 �ｽﾖのア�ｽb�ｽv�ｽO�ｽ�ｽ�ｽ[�ｽh�ｽﾌ要�ｽ�ｽ�ｽ�ｽ�ｽ�ｽﾊに行�ｽ�ｽ�ｽ�ｽﾆ、OutOfMemoryException �ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽA�ｽT�ｽ[�ｽr�ｽX�ｽ^�ｽp�ｽW�ｽQ (DoS) �ｽ�ｽﾔになゑｿｽ - CVE-2020-13934 * �ｽ�ｽ�ｽu�ｽﾌ托ｿｽO�ｽﾒゑｿｽ�ｽ逍ｳ�ｽ�ｽ�ｽﾈペ�ｽC�ｽ�ｽ�ｽ[�ｽh�ｽ�ｽ�ｽﾌ通信�ｽ�ｽ�ｽs�ｽ�ｽ�ｽ�ｽﾆ、�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ[�ｽv�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽT�ｽ[�ｽr�ｽX�ｽ^�ｽp�ｽW�ｽQ (DoS) �ｽ�ｽﾔになゑｿｽ - CVE-2020-13935
�ｽﾎ搾ｿｽ
[�ｽA�ｽb�ｽv�ｽf�ｽ[�ｽg�ｽ�ｽ�ｽ�ｽ] �ｽJ�ｽ�ｽ�ｽﾒゑｿｽ�ｽ氓�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽﾆに、�ｽﾅ新�ｽﾅへア�ｽb�ｽv�ｽf�ｽ[�ｽg�ｽ�ｽ�ｽﾄゑｿｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽB �ｽJ�ｽ�ｽ�ｽﾒは、�ｽ{�ｽﾆ弱性�ｽﾌ対搾ｿｽ�ｽﾅとゑｿｽ�ｽﾄ趣ｿｽ�ｽﾌバ�ｽ[�ｽW�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ[�ｽX�ｽ�ｽ�ｽﾄゑｿｽ�ｽﾜゑｿｽ�ｽB * Apache Tomcat 10.0.0-M7 * Apache Tomcat 9.0.37 * Apache Tomcat 8.5.57 * Apache Tomcat 7.0.105
�ｽx�ｽ�ｽ�ｽ_�ｽ�ｽ�ｽ
Apache Software Foundation Apache Tomcat : Fixed in Apache Tomcat 10.0.0-M7 Apache Tomcat : Fixed in Apache Tomcat 9.0.37 Apache Tomcat : Fixed in Apache Tomcat 8.5.57 Apache Tomcat : Fixed in Apache Tomcat 7.0.105 �ｽ�ｽ�ｽ{�ｽd�ｽC NEC�ｽ�ｽ�ｽi�ｽZ�ｽL�ｽ�ｽ�ｽ�ｽ�ｽe�ｽB�ｽ�ｽ�ｽ : NV20-012 �ｽ�ｽ�ｽ�ｽ Hitachi Software Vulnerability Information : hitachi-sec-2020-130 �ｽ\�ｽt�ｽg�ｽE�ｽF�ｽA�ｽ�ｽ�ｽi�ｽZ�ｽL�ｽ�ｽ�ｽ�ｽ�ｽe�ｽB�ｽ�ｽ�ｽ : hitachi-sec-2020-130
CWE�ｽﾉゑｿｽ�ｽﾆ弱性�ｽ^�ｽC�ｽv�ｽ齬� CWE�ｽﾆゑｿｽ?
�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ[�ｽv(CWE-835) [NVD�ｽ]�ｽ�ｽ] �ｽL�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽﾌ�ｿｽ�ｽ�ｽ�ｽ�ｽ�ｽﾌ会ｿｽ�ｽ�ｽﾌ鯉ｿｽ�ｽ@(CWE-401) [NVD�ｽ]�ｽ�ｽ] NULL �ｽ\|�ｽC�ｽ�ｽ�ｽ^�ｽf�ｽ�ｽ�ｽt�ｽ@�ｽ�ｽ�ｽ�ｽ�ｽX(CWE-476) [NVD�ｽ]�ｽ�ｽ]
�ｽ�ｽ�ｽﾊ脆弱性�ｽ�ｽ�ｽﾊ子(CVE) CVE�ｽﾆゑｿｽ?
CVE-2020-13934 CVE-2020-13935
�ｽQ�ｽl�ｽ�ｽ�ｽ
JVN : JVNVU#96390265 National Vulnerability Database (NVD) : CVE-2020-13934 National Vulnerability Database (NVD) : CVE-2020-13935
�ｽX�ｽV�ｽ�ｽ�ｽ�ｽ
[2020�ｽN07�ｽ�ｽ16�ｽ�ｽ] �ｽf�ｽ�ｽ [2020�ｽN10�ｽ�ｽ28�ｽ�ｽ] �ｽe�ｽ�ｽ�ｽ�ｽ�ｽｯゑｿｽV�ｽX�ｽe�ｽ�ｽ�ｽF�ｽ�ｽ�ｽe�ｽ�ｽ�ｽX�ｽV �ｽx�ｽ�ｽ�ｽ_�ｽ�ｽ�ｽFHitachi Software Vulnerability Information (hitachi-sec-2020-130) �ｽ�ｽﾇ会ｿｽ �ｽx�ｽ�ｽ�ｽ_�ｽ�ｽ�ｽF�ｽ\�ｽt�ｽg�ｽE�ｽF�ｽA�ｽ�ｽ�ｽi�ｽZ�ｽL�ｽ�ｽ�ｽ�ｽ�ｽe�ｽB�ｽ�ｽ�ｽ (hitachi-sec-2020-130) �ｽ�ｽﾇ会ｿｽ [2021�ｽN08�ｽ�ｽ10�ｽ�ｽ] �ｽx�ｽ�ｽ�ｽ_�ｽ�ｽ�ｽF�ｽ�ｽ�ｽ{�ｽd�ｽC (NV20-012) �ｽ�ｽﾇ会ｿｽ


�ｽ�ｽ�ｽ\�ｽ�ｽ	2020/07/15
�ｽo�ｽ^�ｽ�ｽ	2020/07/16
�ｽﾅ終�ｽX�ｽV�ｽ�ｽ	2021/08/10

Apache Tomcat �ｽﾉゑｿｽ�ｽ�ｽ�ｽ髟｡�ｽ�ｽ�ｽﾌサ�ｽ[�ｽr�ｽX�ｽ^�ｽp�ｽW�ｽQ (DoS) �ｽﾌ脆弱性