PowerProtect DPアプライアンスとIDPA: IDPA 2.7.6 ACMで見つかったApache Tomcatの脆弱性

概要: PowerProtect Data Protection (DP)シリーズとIntegrated Data Protection Appliance (IDPA): この記事では、IDPA Appliance Configuration Manager(ACM)バージョン2.7.6で検出されたApache Tomcatのセキュリティ脆弱性に対応します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

メモ: この記事は、PowerProtect Data Protectionシリーズ アプライアンスまたはIDPAバージョン2.7.6のみを対象としています。
IDPAバージョン2.7.8がリリースされました。バージョン2.7.8へのアップグレードを推奨します。 


この記事では、IDPA ACMバージョン2.7.6:

Apache Tomcatで検出された次の共通脆弱性識別子(CVE)について説明します。重要:サービス拒否(CVE-2023-44487)
Apache Tomcat: 低い:Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)
Apache Tomcat: 重要:Apache Tomcatのサービス拒否(CVE-2023-24998)
Apache Tomcat: 重要:Apache Tomcatの情報漏えい(CVE-2023-28708)
Apache Tomcat: 重要:リクエストの密輸 (CVE-2023-46589)
Apache Tomcat: 重要:サービス拒否(CVE-2024-23672)
Apache Tomcat: 重要:サービス拒否(CVE-2024-24549)
Apache Tomcat: 重要:サービス拒否(CVE-2021-42340)
Apache Tomcat: 高:情報漏えい(CVE-2021-43980)
Apache Tomcat: 低い:ローカル権限のエスカレーション(CVE-2022-23181)
Apache Tomcat: 低い:Apache Tomcatリクエストの密輸(CVE-2022-42252)
Apache Tomcat: 低い:Apache Tomcat JsonErrorReportValveインジェクション(CVE-2022-45143)
Apache Tomcat: 適度:オープンリダイレクト(CVE-2023-41080)
Apache Tomcat: 重要:リクエストの密輸 (CVE-2023-45648)
Apache Tomcat: 重要:情報漏えい(CVE-2023-42795)
Apache Tomcat: 重要:リクエストの密輸(CVE-2023-46589)

原因

IDPA ACMバージョン2.7.6の場合、Apache Tomcatのバージョンはバージョン9.0.82.0.

次のコマンドを使用して、ACMバージョンを確認できます。 
rpm -qa |grep dataprotection

次のコマンドは、Apache Tomcatのバージョンを確認できます。 
java -cp /usr/local/dataprotection/tomcat/lib/catalina.jar org.apache.catalina.util.ServerInfo

IDPA ACMバージョン2.7.6の例:
ACM Apache Tomcatのバージョンを確認する方法。
図1: ACM Apache Tomcatのバージョンを確認する方法。 
 

解決方法

重大度 脆弱 性 修正済み Tomcat バージョン 解決策
High

Apache Tomcat:重要:サービス拒否(CVE-2023-44487)( 外部リンク)

 9.0.80 偽陽性
Apache Tomcat:低い:Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)( 外部リンク) 9.0.62 偽陽性
Apache Tomcat:重要:Apache Tomcatのサービス拒否(CVE-2023-24998)(外部リンク) 9.0.74 偽陽性
Apache Tomcat:重要:Apache Tomcatの情報漏えい(CVE-2023-28708)(外部リンク) 9.0.72 偽陽性
Apache Tomcat:重要:リクエストの密輸(CVE-2023-46589)(外部リンク) 9.0.83 解決策はIDPAバージョン2.7.7にあります。
Apache Tomcat:重要:サービス拒否(CVE-2024-23672)(外部リンク) 9.0.86 解決策はIDPAバージョン2.7.7にあります。
Apache Tomcat:重要:サービス拒否(CVE-2024-24549)(外部リンク) 9.0.86 解決策はIDPAバージョン2.7.7にあります。
Apache Tomcat:重要:サービス拒否(CVE-2021-42340)(外部リンク) 9.0.54 偽陽性
High Apache Tomcat:高:情報漏えい(CVE-2021-43980)( 外部リンク) 9.0.60 偽陽性
Apache Tomcat:低い:ローカル権限昇格(CVE-2022-23181)(外部リンク) 9.0.56 偽陽性
Apache Tomcat:低い:Apache Tomcatリクエストの密輸(CVE-2022-42252)(外部リンク) 9.0.68 偽陽性
Apache Tomcat:低い:Apache TomcatのJsonErrorReportValveインジェクション(CVE-2022-45143)(外部リンク) 9.0.69 偽陽性
Apache Tomcat:適度:オープンリダイレクト(CVE-2023-41080)(外部リンク) 9.0.79 偽陽性
Apache Tomcat:重要:Request smuggling(CVE-2023-45648)(外部リンク) 9.0.81 偽陽性
Apache Tomcat:重要:情報漏えい(CVE-2023-42795)(外部リンク) 9.0.81 偽陽性


IDPAバージョン2.7.6の場合、ACM Apache Tomcatはバージョン9.0.82です。したがって、それ以前に解決されたすべての脆弱性は誤検出と見なすことができます。IDPAバージョン2.7.7では、これらの未解決の脆弱性に対応するために、ACMのApache Tomcatがバージョン9.0.86にアップグレードされています。

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文書のプロパティ
文書番号: 000226872
文書の種類: Solution
最終更新: 11 8月 2025
バージョン:  3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。