Apache Tomcat Native Connector の複数の脆弱性に対するアップデート

掲載番号:NV18-015
脆弱性情報識別番号:JVNVU#99687822

概要

Apache Tomcat Native Connector には、下記の脆弱性が存在します。

  • 不正な OCSP レスポンスが適切に処理されない問題 (CVE-2018-8019)
  • OCSP レスポンスに含まれる証明書のステータス情報が適切にチェックされない問題 (CVE-2018-8020)

証明書の失効情報が適切に処理されないことにより、失効した証明書を用いたユーザが認証されてしまう可能性があります。

対象製品

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

  • SimpWright/V6
  • SimpWright/V7

対処方法

Apache Tomcat Native Connector を、ベンダが提供する修正済みのバージョンにアップデートしてください。

MailShooter

影響の有無

影響あり

  • 「HTMLメール開封確認サービス」、「クリックカウント確認サービス」を利用している場合に影響があります。

対象となる製品のバージョン

  • 全バージョン

対処方法

Apache Tomcat Native Connector を、ベンダが提供する修正済みのバージョンにアップデートしてください。

参考情報

Japan Vulnerability Notes JVNVU#99687822
Apache Tomcat Native Connector の複数の脆弱性に対するアップデート
new windowhttps://jvn.jp/vu/JVNVU99687822/

The Apache Software Foundation
new windowhttps://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17

CVE-2018-8019, CVE-2018-8020
new windowhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8019
new windowhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8020

更新情報

2018/09/21
MailShooterを登録しました。
2018/09/03
SimpWright を登録しました。