サイト内の現在位置を表示しています。

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV17-023
脆弱性情報識別番号:JVNVU#99259676

概要

Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • 特定の条件下で JSP ファイルをアップロードされる (CVE-2017-12615、CVE-2017-12617)
  • 情報漏えい (CVE-2017-12616)

 

対象製品

MailShooter

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

  • SimpWright-V6
  • SimpWright-V7

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SpoolServer/Winspoolシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • ReportFiling Ver5.2~6.2

 

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

WebOTX

影響の有無

影響あり

影響は脆弱性の種類、製品やバージョンによって異なります。
詳細は下記ページにてご確認ください。

[WebOTX] JVNVU#99259676 Apache Tomcatの複数の脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102257

対象となる製品のバージョン

脆弱性によって異なります。詳細は下記ページにてご確認ください。

[WebOTX] JVNVU#99259676 Apache Tomcatの複数の脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102257

 

対処方法

[対策]
今後公開予定のパッチを適用する。
詳細は下記ページにてご確認ください。

[WebOTX] JVNVU#99259676 Apache Tomcatの複数の脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102257

[回避策]
CVE-2017-12615:
DefaultServlet に対して readonly を false にする設定を追加しない。

CVE-2017-12616:
Webアプリケーション内で org.apache.naming.resources.VirtualDirContext クラスの API を使用しない。

参考情報

更新情報