Japan
サイト内の現在位置を表示しています。
Apache Tomcat の複数の脆弱性に対するアップデート
掲載番号:NV18-006
脆弱性情報識別番号:JVNVU#95970576
概要
The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。
- 特定の URL パターンによる security constraint が適切に設定されない問題 (CVE-2018-1304)
- アノテーションによる Servelet の security constraint が適切に設定されない問題 (CVE-2018-1305)
遠隔の第三者によって、機微な情報を取得される可能性があります。
対象製品
MailShooter
影響の有無
影響あり
対象となる製品のバージョン
・全バージョン
対処方法
[対策]
Apache Tomcat の最新版へアップデートしてください。
NEC Information Assessment System
影響の有無
影響あり
対象となる製品のバージョン
・NIAS V1.1 ~ V3.3
対処方法
[対策]
NIAS V4.1 にバージョンアップしてください。
SimpWright
影響の有無
影響あり
対象となる製品のバージョン
・SimpWright-V6
・SimpWright-V7
対処方法
[対策]
Apache Tomcat の最新版へアップデートしてください。
SpoolServer/Winspoolシリーズ
影響の有無
影響あり
対象となる製品のバージョン
・ReportFiling Ver5.2~6.2
対処方法
[対策]
Apache Tomcat の最新版へアップデートしてください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
・ Apache Tomcat 8.5.27以前を使用しており、かつ次のいずれかの条件を満たす場合、
影響を受けます。
影響を受けます。
①空文字列のURLパターンをsecurity constraintに使用した場合
②アノテーションによりServletのsecurity constraintを設定した場合
(補足)
security constraintとは、web.xmlにセキュリティ制限として定義する
タグ内の設定、およびServletクラスに付与するアノテーション
(@HttpConstraintなど)のことを指します。・対象となる製品のバージョン
- 製品名:SystemDirector Enterprise for Java
- 対象モデル:JSF拡張モデル
- バージョン:V10.1
対処方法
[回避策]
本脆弱性に該当するApache Tomcatのバージョンをご利用の場合は、本脆弱性の詳細を
確認の上、バージョンアップを実施してください。
しております。Apache Tomcat 8.5.28以上でのご利用を推奨いたします。
参考情報
Japan Vulnerability Notes JVNVU#95366887:
Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU95970576/
CVE-2018-1304, CVE-2018-1305:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1304
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305
更新情報
- 2019/03/29
- 2018/09/21
- 2018/03/23