[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01442] Re: （補足）【注意喚起】 Apache Tomcat の脆弱性について

Subject: [upki-fed:01442] Re: （補足）【注意喚起】 Apache Tomcat の脆弱性について
Date: Fri, 24 Sep 2021 16:13:50 +0900
From: xxxxxxxxxxxxxx@xxxxxxxxx

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

先のアナウンスに関連して、ApacheTomcatプロジェクトより当該アップデートで修正済みの

脆弱性情報(CVE-2021-41079)が追加で公開されています。

本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はすみやかにアップデートを実施していただくことをお勧め致します。

 ※ 先のアナウンスでアップデートを実施済みの場合は追加の対応は不要です。

CVE-2021-41079
 - Apache Tomcat 9.0.0.M1 から 9.0.43 まで
 - Apache Tomcat 8.5.0 から 8.5.63 まで
 ※ 8.0.x等、EOLを過ぎたバージョンは記載していません。

なお、RHEL/CentOS 7のtomcatパッケージには影響はありません。

※ RHEL/CentOS6はEOLを過ぎているため本アナウンスの対象外とさせていただいています。


(Apache Tomcat)
https://lists.apache.org/thread.html/rccdef0349fdf4fb73a4e4403095446d7fe6264e0a58e2df5c6799434%40%3Cannounce.apache.org%3E

(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2021-41079


On 2021/09/10 18:43, xxxxxxxxxxxxxx@xxxxxxxxx wrote:

IdP運用担当者のみなさま
学認情報交換MLのみなさま

NIIの西村です。

本件はShibboleth IdP V4でもTomcat上で運用されているみなさま、
もしくはV4への移行途上でまだV3をお使いのみなさま向けにお送りしております。
先の情報は網羅的・一般的にお送りしましたが、Shibboleth IdPを構築する環境に
限定・特化した情報は以下の通りです。
該当する場合はすみやかにアップデートを実施していただくことをお勧め致します。
Apache Tomcatプロジェクトより、脆弱性(CVE-2021-30639, CVE-2021-30640,
CVE-2021-33037)に関するアナウンスが公開されています。

本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はご注意ください。
 ※ 8.0.x等、EOLを過ぎたバージョンは記載していません。

CVE-2021-30639
 - Apache Tomcat 9.0.44
 - Apache Tomcat 8.5.64

CVE-2021-30640
 - Apache Tomcat 9.0.0.M1 から 9.0.45 まで
 - Apache Tomcat 8.5.0 から 8.5.65 まで
 - Apache Tomcat 7.0.0 から 7.0.108 まで

CVE-2021-33037
 - Apache Tomcat 9.0.0.M1 から 9.0.46 まで
 - Apache Tomcat 8.5.0 から 8.5.66 まで

なお、RHEL/CentOS 7のtomcatパッケージには影響はありません。
 ※ RHEL/CentOS 6はEOLを過ぎているため本アナウンスの対象外とさせていた
    だいています。

(Apache Tomcat)
https://lists.apache.org/thread.html/rd84fae1f474597bdf358f5bdc0a5c453c507bd527b83e8be6b5ea3f4%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r59f9ef03929d32120f91f4ea7e6e79edd5688d75d0a9b65fd26d1fe8%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r612a79269b0d5e5780c62dfd34286a8037232fec0bc6f1a7e60c9381%40%3Cannounce.tomcat.apache.org%3E
(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2021-30639
https://access.redhat.com/security/cve/cve-2021-30640
https://access.redhat.com/security/cve/cve-2021-33037


--
===============================================
国立情報学研究所　学術基盤課　総括・連携基盤チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================

References:
- [upki-fed:01437] 【注意喚起】 Apache Tomcat の脆弱性について
  - From: gakunin-office
- [upki-fed:01440] （補足）【注意喚起】 Apache Tomcat の脆弱性について
  - From: xxxxxxxxxxxxxx@xxxxxxxxx

Prev by Date: [upki-fed:01441] MoodleのShibbolethプラグインの脆弱性につきまして(CVE-2021-40691)
Next by Date: [upki-fed:01443] Re: 【注意喚起】Shibboleth SPの脆弱性について(2021/4/26付アドバイザリ)
Previous by thread: [upki-fed:01440] （補足）【注意喚起】 Apache Tomcat の脆弱性について
Next by thread: [upki-fed:01438] 【注意喚起】学認Shibboleth IdP構築技術ガイドJetty版の設定例の問題につきまして
Index(es):
- Date
- Thread