United States Computer Emergency Readiness Team (US-CERT)は9月19日(現地時間)、「Apache Releases Security Updates for Apache Tomcat|US-CERT」において、Apache Foundationから複数の脆弱性を修正したApache Tomcatのアップデート版が公開されたと伝えた。ある1つの脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたサーバの制御権が乗っ取られる危険性があるとされており、注意が必要。
- [SECURITY] CVE-2017-12615 Apache Tomcat Remote Code Execution via JSP upload
- [SECURITY] CVE-2017-12616 Apache Tomcat Information Disclosure
Apacheのwww-announceメーリングリストに流れた投稿によると、JSPアップロードによってリモートからコードが実行される可能性があるほか、情報漏洩の危険性があるとされている。US-CERTはユーザーや管理者に対し、Apache.orgが出した上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
|
|
[SECURITY] CVE-2017-12615 Apache Tomcat Remote Code Execution via JSP upload |
[SECURITY] CVE-2017-12616 Apache Tomcat Information Disclosure |
