[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00621] Re: Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)
- Subject: [upki-fed:00621] Re: Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)
- Date: Wed, 13 Mar 2013 15:46:48 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
IdP管理者のみなさま
西村です。
以前お知らせした下記の件につきまして、Red Hatが修正版を提供開始した
ようですのでお知らせします。
https://rhn.redhat.com/errata/RHSA-2013-0623.html
あわせて修正されているCVE-2012-4534は、CVE-2012-2733と似ていますが
別の脆弱性のようです。
逆に、現時点ではCVE-2012-2733に対する修正は確認できていません。
(2012/11/29 20:01), Takeshi NISHIMURA wrote:
> IdP管理者のみなさま
> 西村です。
>
> TomcatのDIGEST認証について脆弱性が発見されております。(CVE-2012-5885, CVE-2012-5886, CVE-2012-5887, 旧CVE-2012-3439)
> 学認で提供している技術ガイドに従った通常のIdPでは問題ありませんが、
> ログインハンドラを変更して*Tomcatの*DIGEST認証を使っている場合は、
> Tomcat 6.0.36もしくは、各OSが配布しているTomcatパッケージの
> 最新版に更新していただけますよう、よろしくお願いします。
>
> また、特殊な設定をしているとDoS攻撃を受ける可能性があります。(CVE-2012-2733)
> こちらも技術ガイドに従った構築では問題ありません。具体的には
> server.xmlに
> protocol="org.apache.coyote.http11.Http11NioProtocol"
> と書いていなければ、大丈夫そうです。
>
> 該当する方は、今一度ご確認ください。
>
> 詳細: http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.36
--
西村健
国立情報学研究所 TEL:03-4212-2890