United States Computer Emergency Readiness Team (US-CERT)は10月3日(米国時間)、「Apache Releases Security Updates for Apache Tomcat」において、Apache Software Foundationが脆弱性を修正したApache Tomcatの最新バージョンをリリースしたと伝えた。対象の脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。
脆弱性「CVE-2017-12617」が存在するのは次のバージョン。
- Apache Tomcat 9.0.0.M1から9.0.0までのバージョン
- Apache Tomcat 8.5.0から8.5.22までのバージョン
- Apache Tomcat 8.0.0.RC1から8.0.46までのバージョン
- Apache Tomcat 7.0.0から7.0.81までのバージョン
脆弱性「CVE-2017-12617」が修正されたバージョンは次のとおり。
- Apache Tomcat 9.0.1およびこれ以降のバージョン
- Apache Tomcat 8.5.23およびこれ以降のバージョン
- Apache Tomcat 8.0.47およびこれ以降のバージョン
- Apache Tomcat 7.0.82およびこれ以降のバージョン
US-CERTeamはユーザーおよび管理者に対して、「CVE-2017-12617 Apache Tomcat Remote Code Execution via JSP Upload」の内容をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
JPCERT/CCもApache Tomcat における脆弱性に関する注意喚起において、Apache Tomcatの脆弱性「CVE-2017-12617」を修正したバージョンについて伝えており、日本語で情報を知りたい場合はこちらが有用。