[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01223] Re: 【注意喚起】Apache Tomcatの脆弱性について(2018/7/23付アドバイザリ)
- Subject: [upki-fed:01223] Re: 【注意喚起】Apache Tomcatの脆弱性について(2018/7/23付アドバイザリ)
- Date: Fri, 3 Aug 2018 19:12:30 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
NIIの西村です。
Tomcatについては、Tomcatの開発元からのサポートが8.0については6月30日
に終了していたり(https://tomcat.apache.org/tomcat-80-eol.html)、;
それを越えて8.0.53がリリースされたり、それより前のリリースのはずの
Tomcat 7がまだメンテナンスされていたりと、よくわかりません。
ともかく、最近の8.5や9で問題が発生したという報告もないようですので、
8.0をお使いの方は移行をご検討ください。
もしくはJetty 9.3や9.4という選択肢もあります。Shibboleth開発元の
Shibboleth Projectはここ数年Jettyを推しており、学認技術ガイドは歴史
的経緯からTomcatを使っておりますが今現在Jettyをお勧めしない根拠は他
にありません。
最後に、Tomcat 8.5や9について、8443番ポートのサーバ証明書の指定方法が
変わっているという噂も聞きます。情報をお持ちの方がいらっしゃいました
らお寄せいただけましたら幸いです。
On 2018/08/03 13:45, 国立情報学研究所 学認事務局 wrote:
IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Apache Tomcatプロジェクトより、脆弱性(CVE-2018-1336, CVE-2018-8037,
CVE-2018-8034)に関するアナウンスが公開されています。
本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はご注意ください。
CVE-2018-1336
・Apache Tomcat 9.0.0.M9 から 9.0.7 まで
・Apache Tomcat 8.5.0 から 8.5.30 まで
・Apache Tomcat 8.0.0.RC1 から 8.0.51 まで
・Apache Tomcat 7.0.28 から 7.0.86 まで
CVE-2018-8034
・Apache Tomcat 9.0.0.M1 から 9.0.9 まで
・Apache Tomcat 8.5.0 から 8.5.31 まで
・Apache Tomcat 8.0.0.RC1 から 8.0.52 まで
・Apache Tomcat 7.0.35 から 7.0.88 まで
CVE-2018-8037
・Apache Tomcat 9.0.0.M9 から 9.0.9 まで
・Apache Tomcat 8.5.5 から 8.5.31 まで
以下のサイトなどで情報をご確認いただき、対策されたバージョンが公開され
次第、すみやかにアップデートを実施していただくことをお勧め致します。
(Apache Tomcat)
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90
(JVNVU#90416738 Apache Tomcat の複数の脆弱性に対するアップデート)
https://jvn.jp/vu/JVNVU90416738/index.html
(Apache Tomcat における複数の脆弱性に関する注意喚起)
https://www.jpcert.or.jp/at/2018/at180030.html
(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2018-1336
https://access.redhat.com/security/cve/cve-2018-8037
https://access.redhat.com/security/cve/cve-2018-8034
--
西村健
国立情報学研究所 TEL:03-4212-2890