[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01440] （補足）【注意喚起】 Apache Tomcat の脆弱性について

Subject: [upki-fed:01440] （補足）【注意喚起】 Apache Tomcat の脆弱性について
Date: Fri, 10 Sep 2021 18:43:13 +0900
From: "xxxxxxxxxxxxxx@xxxxxxxxx" <xxxxxxxxxxxxxx@xxxxxxxxx>

IdP運用担当者のみなさま
学認情報交換MLのみなさま

NIIの西村です。

本件はShibboleth IdP V4でもTomcat上で運用されているみなさま、
もしくはV4への移行途上でまだV3をお使いのみなさま向けにお送りしております。

先の情報は網羅的・一般的にお送りしましたが、Shibboleth IdPを構築する環境に
限定・特化した情報は以下の通りです。
該当する場合はすみやかにアップデートを実施していただくことをお勧め致します。

Apache Tomcatプロジェクトより、脆弱性(CVE-2021-30639, CVE-2021-30640,
CVE-2021-33037)に関するアナウンスが公開されています。

本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はご注意ください。
 ※ 8.0.x等、EOLを過ぎたバージョンは記載していません。

CVE-2021-30639
 - Apache Tomcat 9.0.44
 - Apache Tomcat 8.5.64

CVE-2021-30640
 - Apache Tomcat 9.0.0.M1 から 9.0.45 まで
 - Apache Tomcat 8.5.0 から 8.5.65 まで
 - Apache Tomcat 7.0.0 から 7.0.108 まで

CVE-2021-33037
 - Apache Tomcat 9.0.0.M1 から 9.0.46 まで
 - Apache Tomcat 8.5.0 から 8.5.66 まで

なお、RHEL/CentOS 7のtomcatパッケージには影響はありません。
 ※ RHEL/CentOS 6はEOLを過ぎているため本アナウンスの対象外とさせていた
    だいています。

(Apache Tomcat)
https://lists.apache.org/thread.html/rd84fae1f474597bdf358f5bdc0a5c453c507bd527b83e8be6b5ea3f4%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r59f9ef03929d32120f91f4ea7e6e79edd5688d75d0a9b65fd26d1fe8%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r612a79269b0d5e5780c62dfd34286a8037232fec0bc6f1a7e60c9381%40%3Cannounce.tomcat.apache.org%3E

(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2021-30639
https://access.redhat.com/security/cve/cve-2021-30640
https://access.redhat.com/security/cve/cve-2021-33037

--
===============================================
国立情報学研究所　学術基盤課　総括・連携基盤チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================





-------- Forwarded Message --------
Subject: 	【注意喚起】 Apache Tomcat の脆弱性について
Date: 	Fri, 10 Sep 2021 17:18:30 +0900
From: 	xxxxxxxxxxxxxx@xxxxxxxxx
Reply-To: 	xxxxxxxxxxxxxx@xxxxxxxxx
To: 	xxxxxxxxxxx@xxxxxxxxx, xxxxxxxx@xxxxxxxxx
CC: 	xxxxxxxxxxxxxx@xxxxxxxxx



IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

The Apache Software Foundation から Apache Tomcat において
脆弱性が修正されたソフトウェアが公開されましたのでお知らせいたします。
システムに対する影響を検討の上、速やかに措置を講じるようお願いいたします。

１　脆弱性の影響を受けるソフトウェア

- Apache Tomcat 10.0.0.M1 から 10.0.6 までのバージョン
- Apache Tomcat 9.0.0.M1 から 9.0.46 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.66 までのバージョン
- Apache Tomcat 7.0.0 から 7.0.108 までのバージョン

２　対策および回避策

以下の対策済みバージョンにバージョンアップする。
- Apache Tomcat 10.0.7 以降
- Apache Tomcat 9.0.48 以降
- Apache Tomcat 8.5.68 以降
- Apache Tomcat 7.0.109 以降

 * Fixed in Apache Tomcat 10.0.7
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.7
 * Tomcat 10 Software Downloads (10.0.8)
https://tomcat.apache.org/download-10.cgi#10.0.8
 * Fixed in Apache Tomcat 9.0.48
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.48
 * Tomcat 9 Software Downloads (9.0.50)
https://tomcat.apache.org/download-90.cgi#9.0.50
 * Fixed in Apache Tomcat 8.5.68
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.68
 * Tomcat 8 Software Downloads (8.5.69)
https://tomcat.apache.org/download-80.cgi#8.5.69
 * Fixed in Apache Tomcat 7.0.109
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.109
 * Tomcat 7 Software Downloads (7.0.109)
https://archive.apache.org/dist/tomcat/tomcat-7/v7.0.109/

なお、Apache Tomcat チームは、Tomcat7.0.xのサポートは、すでに、2021年3月31日で終了し、

以降、セキュリティ脆弱性には対応しないと発表しています。

速やかに、8.5.x、9.0.x、10.0.x へのアップデートを行ってください。
http://tomcat.apache.org/tomcat-70-eol.html

* [2021-04-02-2] サポートが終了したソフトウェア等の使用禁止について(注意喚起)

https://wiki.nii.ac.jp/wiki/x/1wBfAw

３　参考情報

Security NEXT
「Apache Tomcat」の脆弱性が明らかに - 6月のアップデートで修正済み
https://www.security-next.com/128095

JVN
JVNVU#91880022 Apache Tomcatにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91880022/

Apache Software Foundation
Apache Tomcat 10.x vulnerabilities
https://tomcat.apache.org/security-10.html

Apache Software Foundation
Apache Tomcat 9.x vulnerabilities
https://tomcat.apache.org/security-9.html

Apache Software Foundation
Apache Tomcat 8.x vulnerabilities
https://tomcat.apache.org/security-8.html

Apache Software Foundation
Apache Tomcat 7.x vulnerabilities
https://tomcat.apache.org/security-7.html

MITRE
CVE-2021-30639
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30639

MITRE
CVE-2021-30640
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30640

MITRE
CVE-2021-33037
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33037
*****

Follow-Ups:
- [upki-fed:01442] Re: （補足）【注意喚起】 Apache Tomcat の脆弱性について
  - From: gakunin-office

References:
- [upki-fed:01437] 【注意喚起】 Apache Tomcat の脆弱性について
  - From: gakunin-office

Prev by Date: [upki-fed:01439] 【注意喚起】 Jettyの脆弱性について(2021/7/15付アドバイザリ)
Next by Date: [upki-fed:01441] MoodleのShibbolethプラグインの脆弱性につきまして(CVE-2021-40691)
Previous by thread: [upki-fed:01437] 【注意喚起】 Apache Tomcat の脆弱性について
Next by thread: [upki-fed:01442] Re: （補足）【注意喚起】 Apache Tomcat の脆弱性について
Index(es):
- Date
- Thread