[upki-fed:01338] Re: 【注意喚起】Apache Tomcatの脆弱性について(2020/2/26付アドバイザリ)

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

IdP管理者のみなさま
NIIの西村です。

本脆弱性ですが、ようやくRHEL 6でもアップデートが提供されるようになりました
（RHEL 7についてはもう少し前から提供されております）ので、該当する方は
tomcat/tomcat6パッケージのアップデートもご検討ください。

> 2020/02/26 15:10、国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>のメール:
> 
> IdP運用担当者　各位
> 学認情報交換ML参加者　各位
> 
> 国立情報学研究所　学認事務局です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
> 
> Apache Tomcatプロジェクトより、脆弱性(CVE-2020-1938)に関するアナウンス
> が
> 公開されています。
> 
> 本脆弱性の対象となるバージョンは次の通りです。
> 該当するバージョンをお使いの場合はご注意ください。
> 
> ・Apache Tomcat 9.0.0.M1 から 9.0.30 まで
> ・Apache Tomcat 8.5.0 から 8.5.50 まで
> ・Apache Tomcat 7.0.0 から 7.0.99 まで
> 
> 以下のサイトなどで情報をご確認いただき、対策されたバージョンが公開され
> 次第、すみやかにアップデートを実施していただくことをお勧め致します。
> Apacheのメールアーカイブに緩和策の記載がありますので、脆弱性の
> 解消されたバージョンの公開以前に対応が必要な場合は、そちらをご参照の上、
> ご対処ください。
> 
> (Apache Tomcat)
> http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31
> http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51
> http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
> https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E
> (※緩和策の記載あり)
> 
> (Red Hat CVE Database)
> https://access.redhat.com/security/cve/cve-2020-1938
> 
> なお、学認技術ガイド(*1)に沿った構築ではAJPを使っておりますが、
> アクセス範囲をlocalhostに制限しております。$CATALINA_BASE/conf/server.xmlの
> 以下の項目で適切に制限されているかご確認ください。
> 
> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443"
>           enableLookups="false" tomcatAuthentication="false"
>           address="127.0.0.1" maxPostSize="100000" />
> 
> (*1) https://meatwiki.nii.ac.jp/confluence/x/eIExAQ

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘