Apache Software Foundation は、2017年9月19日 、Apache Tomcatの脆弱性 (CVE-2017-12615 および CVE-2017-12616) に関する情報を報告しました。
●脆弱性 (CVE-2017-12615) は、Windows で利用している Apache Tomcatにおいて、細工したリクエストを受けることで、遠隔から
任意のコードが実行される脆弱性。●脆弱性 (CVE-2017-12616) は、VirtualDirContext を利用している場合に、細工したリクエストを受けることで、 JSP ソースコードを閲覧される脆弱性。
【対象】
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。
- CVE-2017-12615
- Apache Tomcat 7.0.0 から 7.0.79
- CVE-2017-12616
- Apache Tomcat 7.0.0 から 7.0.80【対策】
Apache Software Foundation より、修正済みのバージョンが提供されています。
修正済みのバージョンを適用することをご検討ください。- Apache Tomcat 7.0.81
参考情報 Apache Software Foundation Fixed in Apache Tomcat 7.0.81 http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81 Apache Software Foundation [SECURITY] CVE-2017-12615 Apache Tomcat Remote Code Execution via JSP upload http://mail-archives.us.apache.org/mod_mbox/www-announce/201709.mbox/%3cde541c4a-55b1-a4d3-4fbe-f8e3800b920f@apache.org%3e Apache Software Foundation [SECURITY] CVE-2017-12616 Apache Tomcat Information Disclosure http://mail-archives.us.apache.org/mod_mbox/www-announce/201709.mbox/%3c16df1f59-ea31-0789-f0c8-5432c60de8fc@apache.org%3e US-CERT Apache Releases Security Updates for Apache Tomcat https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apache-Releases-Security-Updates-Apache-Tomcat
外部フレームワークなどを使用している業者は脆弱性情報には常に敏感に対応するようにしましょう。
PARTNER
