[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01338] Re: 【注意喚起】Apache Tomcatの脆弱性について(2020/2/26付アドバイザリ)
- Subject: [upki-fed:01338] Re: 【注意喚起】Apache Tomcatの脆弱性について(2020/2/26付アドバイザリ)
- Date: Fri, 27 Mar 2020 13:49:21 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
IdP管理者のみなさま
NIIの西村です。
本脆弱性ですが、ようやくRHEL 6でもアップデートが提供されるようになりました
(RHEL 7についてはもう少し前から提供されております)ので、該当する方は
tomcat/tomcat6パッケージのアップデートもご検討ください。
> 2020/02/26 15:10、国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>のメール:
>
> IdP運用担当者 各位
> 学認情報交換ML参加者 各位
>
> 国立情報学研究所 学認事務局です。
> 平素より学認の運営にご協力を賜り,ありがとうございます。
>
> Apache Tomcatプロジェクトより、脆弱性(CVE-2020-1938)に関するアナウンス
> が
> 公開されています。
>
> 本脆弱性の対象となるバージョンは次の通りです。
> 該当するバージョンをお使いの場合はご注意ください。
>
> ・Apache Tomcat 9.0.0.M1 から 9.0.30 まで
> ・Apache Tomcat 8.5.0 から 8.5.50 まで
> ・Apache Tomcat 7.0.0 から 7.0.99 まで
>
> 以下のサイトなどで情報をご確認いただき、対策されたバージョンが公開され
> 次第、すみやかにアップデートを実施していただくことをお勧め致します。
> Apacheのメールアーカイブに緩和策の記載がありますので、脆弱性の
> 解消されたバージョンの公開以前に対応が必要な場合は、そちらをご参照の上、
> ご対処ください。
>
> (Apache Tomcat)
> http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31
> http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51
> http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
> https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E
> (※緩和策の記載あり)
>
> (Red Hat CVE Database)
> https://access.redhat.com/security/cve/cve-2020-1938
>
> なお、学認技術ガイド(*1)に沿った構築ではAJPを使っておりますが、
> アクセス範囲をlocalhostに制限しております。$CATALINA_BASE/conf/server.xmlの
> 以下の項目で適切に制限されているかご確認ください。
>
> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443"
> enableLookups="false" tomcatAuthentication="false"
> address="127.0.0.1" maxPostSize="100000" />
>
> (*1) https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
--
西村健
国立情報学研究所 TEL:03-4212-2890
⌘