JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は7月23日、「Apache Tomcat における複数の脆弱性に関する注意喚起」において、Apache Tomcatに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、サービス運用妨害攻撃(DoS:Denial of Service)を受ける可能性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • [SECURITY]CVE-2018-1336 Apache Tomcat - Denial of Service

    [SECURITY]CVE-2018-1336 Apache Tomcat - Denial of Service

脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。

CVE-2018-1336
Apache Tomcat 9.0.0.M9〜9.0.7、Apache Tomcat 8.5.0〜8.5.30、Apache Tomcat 8.0.0.RC1〜8.0.51、Apache Tomcat 7.0.28〜7.0.86
CVE-2018-8034
Apache Tomcat 9.0.0.M1〜9.0.9、Apache Tomcat 8.5.0〜8.5.31、Apache Tomcat 8.0.0.RC1〜8.0.52、Apache Tomcat 7.0.35〜7.0.88
CVE-2018-8037
Apache Tomcat 9.0.0.M9〜9.0.9、Apache Tomcat 8.5.5〜8.5.31

対象の脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 9.0.10
  • Apache Tomcat 8.5.32
  • Apache Tomcat 8.0.53
  • Apache Tomcat 7.0.90

すでに修正されたバージョンが公開されており、JPCERT/CCでは該当するプロダクトを使用している場合には修正されたバージョンの適用を検討するように呼びかけている。