[upki-fed:01180] Re: 【注意喚起】Apache Tomcatの脆弱性について(2017/10/12)

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

お気付きの方もいらっしゃるかと思いますが、本件に関してCentOS/Red Hatからの
アップデートは未だに出ていません。
これは影響範囲が狭いということと回避策が明らかということもあると思われま
す。

独自の改修等により万が一該当する場合には回避策の使用もご検討ください。

On 2017/10/12 11:19, 学認事務局　末永 wrote:
> IdP運用ご担当者　各位
> 学認情報交換メーリングリスト参加者　各位
>
> 　国立情報学研究所　学認事務局です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
>
> Apache Tomcatプロジェクトより、脆弱性(CVE-2017-12615, CVE-2017-12616,
> CVE-2017-12617)に関するアナウンスが公開されています。
>
> 影響
> ====
>
> 本脆弱性の対象となるバージョンは次の通りです。
>
> ・Apache Tomcat 9.0.0.M1 から 9.0.0 まで
> ・Apache Tomcat 8.5.0 から 8.5.22 まで
> ・Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
> ・Apache Tomcat 7.0.0 から 7.0.81 まで
>
> CVE-2017-12615
> --------------
>
> 以下の全条件に該当する場合に影響を受ける可能性があります。
> 該当しないものがひとつでもあれば影響はありません。
>
> ・Windows版を使用している
> ・HTTP PUTを有効にしている
> ・readonlyパラメータをfalseに設定している
>
> CVE-2017-12616
> --------------
>
> 以下の条件に該当する場合に影響を受ける可能性があります。
>
> ・VirtualDirContextを使用している
>
> CVE-2017-12617
> --------------
>
> 以下の両方の条件に該当する場合に影響を受ける可能性があります。
> 片方だけの場合は影響はありません。
>
> ・HTTP PUTを有効にしている
> ・readonlyパラメータをfalseに設定している
>
>
> 対策
> ====
>
> 学認技術ガイド[1]に従って構築した標準的なIdPでは、本脆弱性の影響はあり
> ません。
>
> 脆弱性の影響を受ける条件に該当している場合、あるいは該当しているかどう
> か不明な場合には、以下のサイト等で情報をご確認いただき、対策されたバー
> ジョンが公開され次第すみやかにアップデートを実施していただくことをお勧
> め致します。
>
> (Tomcat)
> http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.1
> http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.23
> http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.47
> http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.82
> http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
>
> (JVN)
> https://jvn.jp/vu/JVNVU99259676/index.html
>
> (Red Hat)
> https://access.redhat.com/security/cve/CVE-2017-12615
> https://access.redhat.com/security/cve/CVE-2017-12616
> https://access.redhat.com/security/cve/CVE-2017-12617
>
> ----
> [1] 学認技術ガイド - IdP
>      https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP

--
西村健
国立情報学研究所 TEL:03-4212-2890