Apache Tomcatに複数の脆弱性

The Apache Software Foundationから、「Apache Tomcat 」に複数の脆弱性が発見され、それに対するアップデートが公開されたとJVNは公開した。

 

脆弱性情報

  • ディレクトリトラバーサル
  • ディレクトリ有無の漏えい
  • セッション固定
  • CSRF トークンの漏えい
  • セキュリティマネージャの回避による情報漏えい
  • セキュリティマネージャの回避による任意のコード実行
  • セキュリティマネージャの回避によるデータ改ざん

発見されたシステム・バージョン

  • Apache Tomcat 9.0.0.M1 から 9.0.0.M2 まで
  • Apache Tomcat 8.0.0.RC1 から 8.0.31 まで
  • Apache Tomcat 7.0.0 から 7.0.67 まで
  • Apache Tomcat 6.0.0 から 6.0.44 まで

※これら以前のバージョンも影響を受ける可能性があります

 

想定される影響

  • 情報漏えい
  • 任意のコード実行
  • データ改ざん

 

対応方法

 

開発者の情報を元に最新版へアップデートする。

2/24時点での最新版は以下の通りです。

  • Apache Tomcat 9.0.0.M3
  • Apache Tomcat 8.0.32
  • Apache Tomcat 7.0.68
  • Apache Tomcat 6.0.45

 

「Apache Tomcat 」(アパッチ トムキャット)はApacheソフトウェア財団(The Apache Software Foundation)が提供するJava,JSPを実行するためのサーブレットエンジンであり、HTTP WEBサーバーとしてもりようすることができるオープンソースソフトウェアです。

 

ご利用の方は一度バージョンをご確認の上、修正対応されることをお勧めします。

 

【参照:Bug 58765 – Summary: Default behavior change in tomcat 8.0.29-30 context root redirect process

LINEで送る
Pocket

こんな記事も読まれています