[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00542] Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)



IdP管理者のみなさま
西村です。

TomcatのDIGEST認証について脆弱性が発見されております。(CVE-2012-5885, CVE-2012-5886, CVE-2012-5887, 旧CVE-2012-3439)
学認で提供している技術ガイドに従った通常のIdPでは問題ありませんが、
ログインハンドラを変更して*Tomcatの*DIGEST認証を使っている場合は、
Tomcat 6.0.36もしくは、各OSが配布しているTomcatパッケージの
最新版に更新していただけますよう、よろしくお願いします。

また、特殊な設定をしているとDoS攻撃を受ける可能性があります。(CVE-2012-2733)
こちらも技術ガイドに従った構築では問題ありません。具体的には
server.xmlに
	protocol="org.apache.coyote.http11.Http11NioProtocol"
と書いていなければ、大丈夫そうです。

該当する方は、今一度ご確認ください。

詳細: http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.36

-- 
西村健
国立情報学研究所 TEL:03-4212-2890