AWS導入支援・クラウド運用代行 スカイアーチネットワークス

Apache Tomcat における脆弱性に関する注意喚起

Apache Struts2にて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

Apache Software Foundation は、2017年9月19日 (標準時間) に、Apache Tomcatの脆弱性 (CVE-2017-12615 および CVE-2017-12616) に関する情報を公開しました。脆弱性 (CVE-2017-12615) では、Windows で利用している Apache Tomcatにおいて、readonly パラメータを false に設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があります。脆弱性 (CVE-2017-12616) では、VirtualDirContext を利用している場合に、細工したリクエストを受けることで、セキュリティ制限がバイパスされ、VirtualDirContext を使用したリソース配下の JSP ソースコードを閲覧される可能性があります。

脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。

Apache Software Foundation
Fixed in Apache Tomcat 7.0.81
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

Apache Software Foundation はそれぞれの脆弱性の深刻度を「Important」と評価しています。「III. 対策」を参考に早期の対応を検討してください。

 

対象

次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。

  • CVE-2017-12615
  • Apache Tomcat 7.0.0 から 7.0.79
  • CVE-2017-12616
  • Apache Tomcat 7.0.0 から 7.0.80

なお、Apache Software Foundation によれば、脆弱性 (CVE-2017-12615) は7.0.80 にて修正されているものの、リリース時の問題により、修正プログラムが含まれているバージョンは 7.0.81 となるとのことです。

対策

Apache Software Foundation より、修正済みのバージョンが提供されています。 修正済みのバージョンを適用することをご検討ください。

  • Apache Tomcat 7.0.81

参考情報

Apache Software Foundation
Fixed in Apache Tomcat 7.0.81
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

Apache Software Foundation
[SECURITY] CVE-2017-12615 Apache Tomcat Remote Code Execution via JSP upload
http://mail-archives.us.apache.org/mod_mbox/www-announce/201709.mbox/%3cde541c4a-55b1-a4d3-4fbe-f8e3800b920f@apache.org%3e

Apache Software Foundation
[SECURITY] CVE-2017-12616 Apache Tomcat Information Disclosure
http://mail-archives.us.apache.org/mod_mbox/www-announce/201709.mbox/%3c16df1f59-ea31-0789-f0c8-5432c60de8fc@apache.org%3e

US-CERT
Apache Releases Security Updates for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apache-Releases-Security-Updates-Apache-Tomcat

備考

最終更新日 2017.09.20

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers