[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01086] 【補足情報】【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)

Subject: [upki-fed:01086] 【補足情報】【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
Date: Mon, 21 Nov 2016 17:51:38 +0900
From: 国立情報学研究所　学認事務局　野田 <xxxxxxxxxxxxxx@xxxxxxxxx>

学認情報交換ML参加者　各位
IdP運用ご担当者　各位


　国立情報学研究所　学認事務局の野田です。
いつも学認の運営にご協力を賜り，ありがとうございます。

　2016年11月9日付でアナウンスいたしました
「Tomcatの脆弱性修正版リリース(2016/11/1)」につきまして
11月21日現在での補足情報がございますので，ご案内いたします。


RHEL系(RHEL，CentOS等)の環境で，yumからインストールされるTomcatは，本修
正版パッケージで同時にCVE-2016-6325 [1] およびCVE-2016-5425 [2]の脆弱性
も修正されています。

ただし，こちらは修正が不完全で，インストール後に変更されたファイルには
本修正版パッケージ適用時にパーミッション等が修正されないようです。

RHEL系でyumからTomcatをインストールした環境におきましては，以下のファイ
ル・ディレクトリのパーミッションについて，今一度問題ないかご確認いただ
ければと思います。

- /etc/tomcat* ディレクトリおよび配下のファイル
- /etc/sysconfig/tomcat*
- /usr/lib/tmpfiles.d/tomcat.conf (RHEL 7のみ)

本件はLinuxディストリビューションのパッケージングの問題であり，Apache
TomcatプロジェクトからダウンロードしてインストールしたTomcatは本脆弱性
の対象外です。

[1] CVE-2016-6325
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-005561.html
- https://access.redhat.com/security/cve/cve-2016-6325

[2] CVE-2016-5425
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-005562.html
- https://access.redhat.com/security/cve/cve-2016-5425






On 2016/11/09 9:22, 学認事務局　末永 wrote:

学認情報交換メーリングリスト参加者　各位
IdP運用ご担当者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Apache Tomcatプロジェクトより、CVE-2016-5388の修正などを含む Tomcat
7.0.72 が9/19にリリースされています。
またRed Hatからも、RHEL6系、RHEL7系向けに、CVE-2016-5388の修正などを含む
Tomcatアップデートパッケージが10/10に公開されています。

以下のサイトなどで情報をご確認いただき，すみやかにアップデートを実施して
いただくことをお勧め致します。

(CVE-2016-5388, httpoxy)
https://httpoxy.org/

(Apache Tomcat)
http://tomcat.apache.org/download-70.cgi
http://tomcat.apache.org/tomcat-7.0-doc/changelog.html

(Red Hat)
https://access.redhat.com/security/cve/CVE-2016-5388

(RHEL7系アップデートパッケージ情報)
https://rhn.redhat.com/errata/RHSA-2016-2046.html

(RHEL6系アップデートパッケージ情報)
https://rhn.redhat.com/errata/RHSA-2016-2045.html

(JPCERT/CC)
https://www.jpcert.or.jp/at/2016/at160031.html

(JVN)
https://jvn.jp/vu/JVNVU91485132/index.html

--
=========================================================
　国立情報学研究所 学術基盤課 学認事務局　（担当：野田）
　TEL：03-4212-2218　��������潜�����　学認Webページ  https://www.gakunin.jp/
　申請システム   https://office.gakunin.nii.ac.jp/
=========================================================

References:
- [upki-fed:01081] 【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
  - From: 学認事務局　末永

Prev by Date: [upki-fed:01085] 【重要】学認サービスの一部停止について（12/2 9:00 - 12/5 17:00）
Next by Date: [upki-fed:01087] 【補足情報】【注意喚起】Shibboleth IdPの脆弱性について
Previous by thread: [upki-fed:01081] 【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
Next by thread: [upki-fed:01082] 第7回研究教育のためのクラウド利活用セミナー（12月21日開催）のご案内
Index(es):
- Date
- Thread