AWS導入支援・クラウド運用代行 スカイアーチネットワークス

Apache Tomcat における複数の脆弱性に関する注意喚起

概要

Apache Software Foundation は、2018年7月22日 (標準時間) に、Apache Tomcat の脆弱性 (CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037) に関する情報を公開しました。脆弱性 (CVE-2018-1336) では、UTF-8 デコーダの処理に不適切な処理があり、悪用された場合にサービス運用妨害 (DoS) 攻撃を受ける可能性があります。

それぞれの脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。

Apache Software Foundation
CVE-2018-1336 Apache Tomcat – Denial of Service

Apache Software Foundation
CVE-2018-8034 Apache Tomcat – Security Constraint Bypass

Apache Software Foundation
CVE-2018-8037 Apache Tomcat – Information Disclosure

Apache Software Foundation は CVE-2018-1336 および CVE-2018-8037 の深刻度を「Important」と、CVE-2018-8034 の深刻度を「Low」と評価しています。「対策」を参考に早期の対応を検討してください。

対象

次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。

CVE-2018-1336

  • Apache Tomcat 9.0.0.M9 から 9.0.7
  • Apache Tomcat 8.5.0 から 8.5.30
  • Apache Tomcat 8.0.0.RC1 から 8.0.51
  • Apache Tomcat 7.0.28 から 7.0.86

CVE-2018-8034

  • Apache Tomcat 9.0.0.M1 から 9.0.9
  • Apache Tomcat 8.5.0 から 8.5.31
  • Apache Tomcat 8.0.0.RC1 から 8.0.52
  • Apache Tomcat 7.0.35 から 7.0.88

CVE-2018-8037

  • Apache Tomcat 9.0.0.M9 から 9.0.9
  • Apache Tomcat 8.5.5 から 8.5.31

対策

Apache Software Foundation より、修正済みのバージョンが提供されています。 修正済みのバージョンを適用することをご検討ください。

  • Apache Tomcat 9.0.10
  • Apache Tomcat 8.5.32
  • Apache Tomcat 8.0.53
  • Apache Tomcat 7.0.90

備考

最終更新日 2018.07.25

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers