Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV17-023
脆弱性情報識別番号:JVNVU#99259676

概要

Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • 特定の条件下で JSP ファイルをアップロードされる (CVE-2017-12615、CVE-2017-12617)
  • 情報漏えい (CVE-2017-12616)

 

対象製品

MailShooter

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

  • SimpWright-V6
  • SimpWright-V7

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SpoolServer/Winspoolシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • ReportFiling Ver5.2~6.2

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

WebOTX

影響の有無

影響あり

影響は脆弱性の種類、製品やバージョンによって異なります。
詳細は下記ページにてご確認ください。

[WebOTX] JVNVU#99259676 Apache Tomcatの複数の脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102257

対象となる製品のバージョン

脆弱性によって異なります。詳細は下記ページにてご確認ください。

[WebOTX] JVNVU#99259676 Apache Tomcatの複数の脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102257

 

対処方法

[対策]
今後公開予定のパッチを適用する。
詳細は下記ページにてご確認ください。

[WebOTX] JVNVU#99259676 Apache Tomcatの複数の脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102257

[回避策]
CVE-2017-12615:
DefaultServlet に対して readonly を false にする設定を追加しない。

CVE-2017-12616:
Webアプリケーション内で org.apache.naming.resources.VirtualDirContext クラスの API を使用しない。

参考情報

更新情報

2017/12/08
WebOTX を登録しました。
2017/11/08
MailShooter、SimpWright、SpoolServer/Winspoolシリーズ を登録しました。