Apache Tomcat には、情報漏えいの脆弱性があるとのことです。
【概要】
対象のApache Tomcat には、同一接続における複数のリクエストの間で情報が漏洩する恐れがあります。
リバースプロキシを使用したサーバ環境において、通信内容が他ユーザに漏洩する恐れがあります。
本脆弱性は、Apache Tomcat のソースコードのリファクタリングの影響で発生したものです。これらの脆弱性により結果的に、悪意ある攻撃者に通信内容が漏えいする可能性があります。ただし、HTTP/2 および AJP による接続は本脆弱性の影響を受けません。
脆弱性:「CVE-2016-8747」
【影響を受ける範囲】
•Apache Tomcat 9.0.0.M11 から 9.0.0.M15 まで
•Apache Tomcat 8.5.7 から 8.5.9 までこれらより前のバージョンは本脆弱性の影響を受けません。
【対策】
以下の対応製品にアップにデートしてください。
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。
•Apache Tomcat 9.0.0.M17
•Apache Tomcat 8.5.11最近、「Apache Struts 2」の脆弱性がIPAより報告されましたが同じフレームワークを使用していた各社のシステムがのみなみサイバー攻撃を受け、相次いで情報が漏洩しています。本来であればシステム管理者がこういった脆弱性の情報に敏感になり即座に対応すべきですが残念ながら対応前に攻撃を受けてしまう現状があります。他社のフレームワークは便利なものですが一度、脆弱性が発見されると攻撃範囲が広範囲に及びます。システム開発者はそのことを意識して使用していただきたいのはもちろんですが使用しているソースコードのバージョンアップにも敏感に対応したいですね。
PARTNER
