JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は7月23日、「Apache Tomcat における複数の脆弱性に関する注意喚起」において、Apache Tomcatに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、サービス運用妨害攻撃(DoS:Denial of Service)を受ける可能性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
- [SECURITY]CVE-2018-1336 Apache Tomcat - Denial of Service
- [SECURITY]CVE-2018-8034 Apache Tomcat - Security Constraint Bypass
- [SECURITY]CVE-2018-8037 Apache Tomcat - Information Disclosure
脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。
CVE-2018-1336 |
---|
Apache Tomcat 9.0.0.M9〜9.0.7、Apache Tomcat 8.5.0〜8.5.30、Apache Tomcat 8.0.0.RC1〜8.0.51、Apache Tomcat 7.0.28〜7.0.86 |
CVE-2018-8034 |
---|
Apache Tomcat 9.0.0.M1〜9.0.9、Apache Tomcat 8.5.0〜8.5.31、Apache Tomcat 8.0.0.RC1〜8.0.52、Apache Tomcat 7.0.35〜7.0.88 |
CVE-2018-8037 |
---|
Apache Tomcat 9.0.0.M9〜9.0.9、Apache Tomcat 8.5.5〜8.5.31 |
対象の脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.10
- Apache Tomcat 8.5.32
- Apache Tomcat 8.0.53
- Apache Tomcat 7.0.90
すでに修正されたバージョンが公開されており、JPCERT/CCでは該当するプロダクトを使用している場合には修正されたバージョンの適用を検討するように呼びかけている。