-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2017-0038
                                                             JPCERT/CC
                                                      2017-09-20(新規)
                                                      2017-10-05(更新)


                  <<< JPCERT/CC Alert 2017-09-20 >>>

             Apache Tomcat における脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170038.html


I. 概要
Apache Software Foundation は、2017年9月19日 (標準時間) に、Apache Tomcat
の脆弱性 (CVE-2017-12615 および CVE-2017-12616) に関する情報を公開しま
した。脆弱性 (CVE-2017-12615) では、Windows で利用している Apache Tomcat
において、readonly パラメータを false に設定し、HTTP PUT リクエストを受
け付け可能としている場合に、細工したリクエストを受けることで、遠隔から
任意のコードが実行される可能性があります。脆弱性 (CVE-2017-12616) では、
VirtualDirContext を利用している場合に、細工したリクエストを受けること
で、セキュリティ制限がバイパスされ、VirtualDirContext を使用したリソー
ス配下の JSP ソースコードを閲覧される可能性があります。

脆弱性の詳細については、Apache Software Foundation からの情報を参照して
ください。

    Apache Software Foundation
    Fixed in Apache Tomcat 7.0.81
    http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

Apache Software Foundation はそれぞれの脆弱性の深刻度を「Important」と
評価しています。「III. 対策」を参考に早期の対応を検討してください。

** 更新: 2017年 9月25日追記*******************************************
Apache Tomcat について、脆弱性 (CVE-2017-12617) に関する情報があります。
本脆弱性は Apache Tomcat の readonly パラメータを false に設定し、HTTP
PUT メソッドを有効にしている場合に、遠隔から任意のコードが実行される可
能性があります。

2017年9月25日現在、Apache Software Foundation からは、影響を受ける
バージョンや詳細については明らかにされておりませんが、JPCERT/CC では、
CVE-2017-12615 にて対象となったバージョン以外も影響を受けることを確認
しています。脆弱性を悪用した攻撃を防ぐために、「IV. 回避策」を参考に対
策を検討してください。

    Red Hat Bugzilla
    Bug 1494283 - CVE-2017-12617 tomcat: Remote Code Execution bypass for CVE-2017-12615     
    https://bugzilla.redhat.com/show_bug.cgi?id=1494283
**********************************************************************


II. 対象
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。

    - CVE-2017-12615
      - Apache Tomcat 7.0.0 から 7.0.79
    - CVE-2017-12616
      - Apache Tomcat 7.0.0 から 7.0.80

なお、Apache Software Foundation によれば、脆弱性 (CVE-2017-12615) は
7.0.80 にて修正されているものの、リリース時の問題により、修正プログラム
が含まれているバージョンは 7.0.81 となるとのことです。

** 更新: 2017年10月 4日追記*******************************************
CVE-2017-12617 の脆弱性については次のバージョンの Apache Tomcat が影響
を受けます。

    - CVE-2017-12617
      - Apache Tomcat 9.0.0.M1 から 9.0.0
      - Apache Tomcat 8.5.0 から 8.5.22
      - Apache Tomcat 8.0.0.RC1 から 8.0.46
      - Apache Tomcat 7.0.0 から 7.0.81
**********************************************************************


III. 対策
Apache Software Foundation より、修正済みのバージョンが提供されています。
修正済みのバージョンを適用することをご検討ください。

    - Apache Tomcat 7.0.81

** 更新: 2017年10月 4日追記*******************************************
Apache Software Foundation より、Apache Tomcat 9系および 8.5系において
は CVE-2017-12617 の脆弱性を修正したバージョンが提供されています。

    - Apache Tomcat 9.0.1
    - Apache Tomcat 8.5.23

    Apache Software Foundation
    Fixed in Apache Tomcat 9.0.1
    http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.1

    Apache Software Foundation
    Fixed in Apache Tomcat 8.5.23    
    http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.23

なお、8.0系および 7系については 10月4日時点で、修正済みのバージョンは
提供されておりませんので、「IV. 回避策」を参考に対策を検討してください。
**********************************************************************

** 更新: 2017年10月 5日追記*******************************************
Apache Software Foundation より、Apache Tomcat 8.0系および 7系の修正済
みのバージョンが追加で提供されています。早期の適用をご検討ください。

    - Apache Tomcat 9.0.1
    - Apache Tomcat 8.5.23
    - Apache Tomcat 8.0.47
    - Apache Tomcat 7.0.82

    Apache Software Foundation
    Fixed in Apache Tomcat 9.0.1
    http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.1

    Apache Software Foundation
    Fixed in Apache Tomcat 8.5.23    
    http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.23

    Apache Software Foundation
    Fixed in Apache Tomcat 8.0.47
    http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.47

    Apache Software Foundation
    Fixed in Apache Tomcat 7.0.82
    http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.82
**********************************************************************

** 更新: 2017年 9月25日追記*******************************************
IV. 回避策
2017年9月25日現在、Apache Software Foundation からは、脆弱性 (CVE-2017-12617)
への対策を施した修正済みのバージョンは提供されておりません。

readonly パラメータを false に設定している場合、JPCERT/CC にて検証したと
ころ、Windows 以外の OS で動作している場合や、 脆弱性 (CVE-2017-12615)
の対象となる Apache Tomcat 7.0.0 から 7.0.79 以外のバージョンでも影響
を受け、悪用される可能性があることを確認しています。

次の設定を行い脆弱性の影響を軽減することを検討してください。

    - Apache Tomcat において、readonly パラメータを true に設定するか、HTTP PUT リクエストを受け付けないよう設定を行う。

       設定例) web.xml ファイルに追記し、readonly パラメータを true に設定する
         <init-param>
             <param-name>readonly</param-name>
             <param-value>true</param-value>
         </init-param>

なお、readonly パラメータは、デフォルトでは、true に設定されています。

設定の変更ができない場合は、インターネットからのアクセスに対して適切に
アクセス制限を行うこともお勧めします。
**********************************************************************


V. 参考情報
    Apache Software Foundation
    Fixed in Apache Tomcat 7.0.81
    http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

    Apache Software Foundation
    [SECURITY] CVE-2017-12615 Apache Tomcat Remote Code Execution via JSP upload
    http://mail-archives.us.apache.org/mod_mbox/www-announce/201709.mbox/%3cde541c4a-55b1-a4d3-4fbe-f8e3800b920f@apache.org%3e

    Apache Software Foundation
    [SECURITY] CVE-2017-12616 Apache Tomcat Information Disclosure
    http://mail-archives.us.apache.org/mod_mbox/www-announce/201709.mbox/%3c16df1f59-ea31-0789-f0c8-5432c60de8fc@apache.org%3e

    US-CERT
    Apache Releases Security Updates for Apache Tomcat
    https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apache-Releases-Security-Updates-Apache-Tomcat

** 更新: 2017年10月 4日追記*******************************************
    Apache Software Foundation
    Fixed in Apache Tomcat 9.0.1
    http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.1

    Apache Software Foundation
    Fixed in Apache Tomcat 8.5.23
    http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.23
**********************************************************************

** 更新: 2017年10月 5日追記*******************************************
    Apache Software Foundation
    Fixed in Apache Tomcat 8.0.47
    http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.47

    Apache Software Foundation
    Fixed in Apache Tomcat 7.0.82
    http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.82
**********************************************************************
________
改訂履歴
2017-09-20 初版
2017-09-25 「I. 概要」、「IV. 回避策」を追記
2017-10-04 「II. 対象」「III. 対策」「V. 参考」を追記
2017-10-05 「III. 対策」「V. 参考」を追記

今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJZ1YyIAAoJEDF9l6Rp7OBIKzQH/2eKgc6CpFcUiqeDojpwWTnk
mmKDxwQThcOeM9eSfHDS4CMbgRRjxMxc6DxlMa5depCm/C473dQy9ireZPcaib1v
MsOFE7upzsuI+rRYKqcsJ+koOBXM4V/8t6WOvwINxAGKuMNQ9la74o1kw+ZCiBB+
/QV8owfRWbauvuweMo5c4j6LBSL34CuNp0TcnvP9YA9947tSe8fTO2MwzGH4FvCb
Xm3D79t1L8jwPjyISm4H8EGNJP25x+KBCoNypMgnTvFfu1Ng59hPSgADXRjIuWnV
vfwrqS1mQz2/nL7R3w5l0GV/yxv1Iw78QiPjdUmkWHlFdLE9NqVf4sSA1EgZLAk=
=Rz6i
-----END PGP SIGNATURE-----