ニュース
「Apache Tomcat」に複数の脆弱性 ~JVNが注意喚起
修正版はすでにリリースされており、公式サイトより入手可能
2018年7月23日 16:45
脆弱性対策情報ポータルサイト“JVN”は7月23日、「Apache Tomcat」に複数の脆弱性が存在することを明らかにした。修正版はすでにリリースされており、公式サイトより入手可能。
“JVN”の脆弱性レポート(JVNVU#90416738)によると、「Apache Tomcat」の旧バージョンには、補助文字の取り扱い不備によりUTF-8デコーダーが無限ループに陥る(CVE-2018-1336)、NIO/NIO2におけるコネクションの管理不備(CVE-2018-8037)、WebSocketクライアントのTLS接続においてホスト名が検証されない(CVE-2018-8034)などの欠陥が存在する。それぞれサービス運用妨害(DoS)攻撃、既存セッションの使いまわし、中間者攻撃(man-in-the-middle attack)につながる恐れがあり、以下のバージョンへのアップデートが推奨されている。
- Apache Tomcat 9.0.10
- Apache Tomcat 8.5.32
- Apache Tomcat 8.0.53
- Apache Tomcat 7.0.90