- 2016年2月24日
- その他脆弱性情報
Apache Tomcatに複数の脆弱性
The Apache Software Foundationから、「Apache Tomcat 」に複数の脆弱性が発見され、それに対するアップデートが公開されたとJVNは公開した。
脆弱性情報
- ディレクトリトラバーサル
- ディレクトリ有無の漏えい
- セッション固定
- CSRF トークンの漏えい
- セキュリティマネージャの回避による情報漏えい
- セキュリティマネージャの回避による任意のコード実行
- セキュリティマネージャの回避によるデータ改ざん
発見されたシステム・バージョン
- Apache Tomcat 9.0.0.M1 から 9.0.0.M2 まで
- Apache Tomcat 8.0.0.RC1 から 8.0.31 まで
- Apache Tomcat 7.0.0 から 7.0.67 まで
- Apache Tomcat 6.0.0 から 6.0.44 まで
※これら以前のバージョンも影響を受ける可能性があります
想定される影響
- 情報漏えい
- 任意のコード実行
- データ改ざん
対応方法
開発者の情報を元に最新版へアップデートする。
2/24時点での最新版は以下の通りです。
- Apache Tomcat 9.0.0.M3
- Apache Tomcat 8.0.32
- Apache Tomcat 7.0.68
- Apache Tomcat 6.0.45
「Apache Tomcat 」(アパッチ トムキャット)はApacheソフトウェア財団(The Apache Software Foundation)が提供するJava,JSPを実行するためのサーブレットエンジンであり、HTTP WEBサーバーとしてもりようすることができるオープンソースソフトウェアです。
ご利用の方は一度バージョンをご確認の上、修正対応されることをお勧めします。
【参照:Bug 58765 – Summary: Default behavior change in tomcat 8.0.29-30 context root redirect process】