サイト内の現在位置

Apache Tomcat の複数の脆弱性に対するアップデート

掲載番号:NV20-002
脆弱性情報識別番号:JVNVU#98104709

概要

情報漏えい - CVE-2019-12418
Tomcat インスタンスを完全に制御される。
・Apache Tomcat が JMX Remote Lifecycle Listener で構成されている場合に、RMI レジストリの操作による中間者攻撃 (man-in-the-middle attack) が行われ、MX インターフェースのアクセスに使用されるユーザ名とパスワードを取得される可能性があります。
・また開発者によると、本脆弱性をリモートから悪用可能な JRE の脆弱性、CVE-2019-2684 にも注意する必要があるとのことです。

セッション固定攻撃 - CVE-2019-17563
なりすましが行われることで、FORM 認証されたユーザの権限で任意の操作を実行される。
・FORM 認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。

対象製品

SpoolServer/Winspool

影響の有無

影響あり

対象となる製品のバージョン

CVE-2019-12418
・Apache Tomcat 9.0.0.M1 から 9.0.28 まで
・Apache Tomcat 8.5.0 から 8.5.47 まで
・Apache Tomcat 7.0.0 から 7.0.97 まで

CVE-2019-17563
・Apache Tomcat 9.0.0.M1 から 9.0.29 まで
・Apache Tomcat 8.5.0 から 8.5.49 まで
・Apache Tomcat 7.0.0 から 7.0.98 まで

対処方法

開発者が提供する情報をもとに、修正バージョンへアップデートしてください。
修正バージョンは以下の通りです。

CVE-2019-12418
- Apache Tomcat 9.0.29
- Apache Tomcat 8.5.49
- Apache Tomcat 7.0.99

CVE-2019-17563
- Apache Tomcat 9.0.30
- Apache Tomcat 8.5.50
- Apache Tomcat 7.0.99

参考情報

更新情報

2020/02/19
SpoolServer/Winspool を登録しました。