Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV18-006
脆弱性情報識別番号:JVNVU#95970576

概要

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。
- 特定の URL パターンによる security constraint が適切に設定されない問題 (CVE-2018-1304)
- アノテーションによる Servelet の security constraint が適切に設定されない問題 (CVE-2018-1305)


遠隔の第三者によって、機微な情報を取得される可能性があります。

対象製品

MailShooter

影響の有無

影響あり

対象となる製品のバージョン

・全バージョン

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

NEC Information Assessment System

影響の有無

影響あり

対象となる製品のバージョン

・NIAS V1.1 ~ V3.3

対処方法

[対策]
NIAS V4.1 にバージョンアップしてください。

SimpWright

影響の有無

影響あり

対象となる製品のバージョン

・SimpWright-V6
・SimpWright-V7

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SpoolServer/Winspoolシリーズ

影響の有無

影響あり

対象となる製品のバージョン

・ReportFiling Ver5.2~6.2

対処方法

[対策]
Apache Tomcat の最新版へアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

 Apache Tomcat 8.5.27以前を使用しており、かつ次のいずれかの条件を満たす場合、
    影響を受けます。

  ①空文字列のURLパターンをsecurity constraintに使用した場合

  ②アノテーションによりServletsecurity constraintを設定した場合

 

 (補足)

  security constraintとは、web.xmlにセキュリティ制限として定義する

  タグ内の設定、およびServletクラスに付与するアノテーション

  (@HttpConstraintなど)のことを指します。

・対象となる製品のバージョン

 - 製品名:SystemDirector Enterprise for Java

 - 対象モデル:JSF拡張モデル

 - バージョン:V10.1

対処方法

[回避策]

    本脆弱性に該当するApache Tomcatのバージョンをご利用の場合は、本脆弱性の詳細を
    確認の上、バージョンアップを実施してください。

    なお、SDEV10.1では本脆弱性の影響を受けないApache Tomcat 8.5.28にて動作確認を
   しております。Apache Tomcat 8.5.28以上でのご利用を推奨いたします。

参考情報

Japan Vulnerability Notes JVNVU#95366887:
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95970576/

CVE-2018-1304, CVE-2018-1305:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1304
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305

更新情報

2019/03/29
NEC Information Assessment System を登録しました。
2018/09/21
SystemDirector Enterprise を登録しました。
2018/03/23
MailShooter、SimpWright、SpoolServer/Winspoolシリーズを登録しました。