-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0030 JPCERT/CC 2018-07-23 <<< JPCERT/CC Alert 2018-07-23 >>> Apache Tomcat における複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180030.html I. 概要 Apache Software Foundation は、2018年7月22日 (標準時間) に、Apache Tomcat の脆弱性 (CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037) に 関する情報を公開しました。脆弱性 (CVE-2018-1336) では、UTF-8 デコーダ の処理に不適切な処理があり、悪用された場合にサービス運用妨害 (DoS) 攻 撃を受ける可能性があります。 それぞれの脆弱性の詳細については、Apache Software Foundation からの情 報を参照してください。 Apache Software Foundation CVE-2018-1336 Apache Tomcat - Denial of Service https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759@minotaur.apache.org%3E Apache Software Foundation CVE-2018-8034 Apache Tomcat - Security Constraint Bypass https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E Apache Software Foundation CVE-2018-8037 Apache Tomcat - Information Disclosure https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700@minotaur.apache.org%3E Apache Software Foundation は CVE-2018-1336 および CVE-2018-8037 の深 刻度を「Important」と、CVE-2018-8034 の深刻度を「Low」と評価しています。 「III. 対策」を参考に早期の対応を検討してください。 II. 対象 次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。 - CVE-2018-1336 - Apache Tomcat 9.0.0.M9 から 9.0.7 - Apache Tomcat 8.5.0 から 8.5.30 - Apache Tomcat 8.0.0.RC1 から 8.0.51 - Apache Tomcat 7.0.28 から 7.0.86 - CVE-2018-8034 - Apache Tomcat 9.0.0.M1 から 9.0.9 - Apache Tomcat 8.5.0 から 8.5.31 - Apache Tomcat 8.0.0.RC1 から 8.0.52 - Apache Tomcat 7.0.35 から 7.0.88 - CVE-2018-8037 - Apache Tomcat 9.0.0.M9 から 9.0.9 - Apache Tomcat 8.5.5 から 8.5.31 III. 対策 Apache Software Foundation より、修正済みのバージョンが提供されていま す。修正済みのバージョンを適用することをご検討ください。 - Apache Tomcat 9.0.10 - Apache Tomcat 8.5.32 - Apache Tomcat 8.0.53 - Apache Tomcat 7.0.90 IV. 参考情報 Apache Software Foundation Fixed in Apache Tomcat 9.0.10 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10 Apache Software Foundation Fixed in Apache Tomcat 8.5.32 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32 Apache Software Foundation Fixed in Apache Tomcat 8.0.53 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53 Apache Software Foundation Fixed in Apache Tomcat 7.0.90 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90 Apache Software Foundation CVE-2018-1336 Apache Tomcat - Denial of Service https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759@minotaur.apache.org%3E Apache Software Foundation CVE-2018-8034 Apache Tomcat - Security Constraint Bypass https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E Apache Software Foundation CVE-2018-8037 Apache Tomcat - Information Disclosure https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700@minotaur.apache.org%3E 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbVUBgAAoJEDF9l6Rp7OBICN4H/3XD/S8GvlXs6Oa/Vjdr9+N1 w45Xi01/ftnVNFBiFHxXHESiw+auCbigGx1KafU8bvWfEYHs3SFn6LHLns5nRa/t 4MP1spDQxWLM/svlNdFPC1n+yz/BxC13zzLIrWGUOgd2JJUj0pna3TJSjK3tGWyJ ifbSG6Jt30wRNAGLsyljI8vzxkPiot/nT0tI0rbTjcsspb6W5Y1naDpvmElvOvUg k5S3t1BC6KeSbjYhE9W3vBfo5U90RmpT6SkhcYgphOI+j7JyEl2oHPHWADcYeY30 6zUe9GVMUPTsytCBE6Kr3qg7ra/LGxOjoifRwO5NSJ/HISkyUibbeJmbsmn6UK4= =H7Uk -----END PGP SIGNATURE-----