[upki-fed:01178] 【注意喚起】Apache Tomcatの脆弱性について(2017/10/12)

[学認事務局 末永 <xxxxxxxxxxxxxx@xxxxxxxxx>]

IdP運用ご担当者　各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Apache Tomcatプロジェクトより、脆弱性(CVE-2017-12615, CVE-2017-12616,
CVE-2017-12617)に関するアナウンスが公開されています。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

・Apache Tomcat 9.0.0.M1 から 9.0.0 まで
・Apache Tomcat 8.5.0 から 8.5.22 まで
・Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
・Apache Tomcat 7.0.0 から 7.0.81 まで

CVE-2017-12615
--------------

以下の全条件に該当する場合に影響を受ける可能性があります。
該当しないものがひとつでもあれば影響はありません。

・Windows版を使用している
・HTTP PUTを有効にしている
・readonlyパラメータをfalseに設定している

CVE-2017-12616
--------------

以下の条件に該当する場合に影響を受ける可能性があります。

・VirtualDirContextを使用している

CVE-2017-12617
--------------

以下の両方の条件に該当する場合に影響を受ける可能性があります。
片方だけの場合は影響はありません。

・HTTP PUTを有効にしている
・readonlyパラメータをfalseに設定している


対策
====

学認技術ガイド[1]に従って構築した標準的なIdPでは、本脆弱性の影響はあり
ません。

脆弱性の影響を受ける条件に該当している場合、あるいは該当しているかどう
か不明な場合には、以下のサイト等で情報をご確認いただき、対策されたバー
ジョンが公開され次第すみやかにアップデートを実施していただくことをお勧
め致します。

(Tomcat)
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.1
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.23
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.47
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.82
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

(JVN)
https://jvn.jp/vu/JVNVU99259676/index.html

(Red Hat)
https://access.redhat.com/security/cve/CVE-2017-12615
https://access.redhat.com/security/cve/CVE-2017-12616
https://access.redhat.com/security/cve/CVE-2017-12617

----
[1] 学認技術ガイド - IdP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++