[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00542] Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)

Subject: [upki-fed:00542] Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)
Date: Thu, 29 Nov 2012 20:01:22 +0900
From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>

IdP管理者のみなさま
西村です。

TomcatのDIGEST認証について脆弱性が発見されております。(CVE-2012-5885, CVE-2012-5886, CVE-2012-5887, 旧CVE-2012-3439)
学認で提供している技術ガイドに従った通常のIdPでは問題ありませんが、
ログインハンドラを変更して*Tomcatの*DIGEST認証を使っている場合は、
Tomcat 6.0.36もしくは、各OSが配布しているTomcatパッケージの
最新版に更新していただけますよう、よろしくお願いします。

また、特殊な設定をしているとDoS攻撃を受ける可能性があります。(CVE-2012-2733)
こちらも技術ガイドに従った構築では問題ありません。具体的には
server.xmlに
	protocol="org.apache.coyote.http11.Http11NioProtocol"
と書いていなければ、大丈夫そうです。

該当する方は、今一度ご確認ください。

詳細: http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.36

-- 
西村健
国立情報学研究所 TEL:03-4212-2890

Follow-Ups:
- [upki-fed:00621] Re: Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)
  - From: Takeshi NISHIMURA

Prev by Date: [upki-fed:00541] Re: Tiqrの日本語化
Next by Date: [upki-fed:00543] 【学認】新規SPのご紹介〔学認連携 Moodle 講習サイトβ〕
Previous by thread: [upki-fed:00541] Re: Tiqrの日本語化
Next by thread: [upki-fed:00621] Re: Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)
Index(es):
- Date
- Thread