[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01332] 【注意喚起】Apache Tomcatの脆弱性について(2020/2/26付アドバイザリ)



IdP運用担当者 各位
学認情報交換ML参加者 各位

国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

Apache Tomcatプロジェクトより、脆弱性(CVE-2020-1938)に関するアナウンス
が
公開されています。

本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はご注意ください。

・Apache Tomcat 9.0.0.M1 から 9.0.30 まで
・Apache Tomcat 8.5.0 から 8.5.50 まで
・Apache Tomcat 7.0.0 から 7.0.99 まで

以下のサイトなどで情報をご確認いただき、対策されたバージョンが公開され
次第、すみやかにアップデートを実施していただくことをお勧め致します。
Apacheのメールアーカイブに緩和策の記載がありますので、脆弱性の
解消されたバージョンの公開以前に対応が必要な場合は、そちらをご参照の上、
ご対処ください。

(Apache Tomcat)
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E
(※緩和策の記載あり)

(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2020-1938

なお、学認技術ガイド(*1)に沿った構築ではAJPを使っておりますが、
アクセス範囲をlocalhostに制限しております。$CATALINA_BASE/conf/server.xmlの
以下の項目で適切に制限されているかご確認ください。

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"
           enableLookups="false" tomcatAuthentication="false"
           address="127.0.0.1" maxPostSize="100000" />

(*1) https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
 電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
 学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++