[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00621] Re: Tomcatの脆弱性について(CVE-2012-2733, CVE-2012-3439, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887)



IdP管理者のみなさま
西村です。

以前お知らせした下記の件につきまして、Red Hatが修正版を提供開始した
ようですのでお知らせします。
https://rhn.redhat.com/errata/RHSA-2013-0623.html

あわせて修正されているCVE-2012-4534は、CVE-2012-2733と似ていますが
別の脆弱性のようです。
逆に、現時点ではCVE-2012-2733に対する修正は確認できていません。

(2012/11/29 20:01), Takeshi NISHIMURA wrote:
> IdP管理者のみなさま
> 西村です。
> 
> TomcatのDIGEST認証について脆弱性が発見されております。(CVE-2012-5885, CVE-2012-5886, CVE-2012-5887, 旧CVE-2012-3439)
> 学認で提供している技術ガイドに従った通常のIdPでは問題ありませんが、
> ログインハンドラを変更して*Tomcatの*DIGEST認証を使っている場合は、
> Tomcat 6.0.36もしくは、各OSが配布しているTomcatパッケージの
> 最新版に更新していただけますよう、よろしくお願いします。
> 
> また、特殊な設定をしているとDoS攻撃を受ける可能性があります。(CVE-2012-2733)
> こちらも技術ガイドに従った構築では問題ありません。具体的には
> server.xmlに
> 	protocol="org.apache.coyote.http11.Http11NioProtocol"
> と書いていなければ、大丈夫そうです。
> 
> 該当する方は、今一度ご確認ください。
> 
> 詳細: http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.36

-- 
西村健
国立情報学研究所 TEL:03-4212-2890