公開日:2016/10/28 最終更新日:2019/10/28

JVNVU#95366887
Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。

影響を受けるシステム

  • Apache Tomcat 9.0.0.M1 から 9.0.0.M9 まで
  • Apache Tomcat 8.5.0 から 8.5.4 まで
  • Apache Tomcat 8.0.0.RC1 から 8.0.36 まで
  • Apache Tomcat 7.0.0 から 7.0.70 まで
  • Apache Tomcat 6.0.0 から 6.0.45 まで
これら以前の、サポート対象外の Apache Tomcat も本脆弱性の影響を受ける可能性があります。

詳細情報

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • セキュリティマネージャの制限回避 (CVE-2016-5018, CVE-2016-6794, CVE-2016-6796)
  • ResourceLinkFactory のアクセス制限不備 (CVE-2016-6797)
  • レルム実装へのタイミング攻撃 (CVE-2016-0762)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • システムプロパティや登録ユーザ名などに関する情報漏えい
  • グローバル JNDI リソースへの不正なアクセス

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。

  • Apache Tomcat 9.0.0.M10
  • Apache Tomcat 8.5.5
  • Apache Tomcat 8.0.37
  • Apache Tomcat 7.0.72
  • Apache Tomcat 6.0.47

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2016/10/31
日本電気株式会社 該当製品あり 2019/10/28

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-5018
CVE-2016-6794
CVE-2016-6796
CVE-2016-6797
CVE-2016-0762
JVN iPedia

更新履歴

2016/10/31
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2018/04/27
日本電気株式会社のベンダステータスが更新されました
2018/07/30
日本電気株式会社のベンダステータスが更新されました
2019/10/28
日本電気株式会社のベンダステータスが更新されました