公開日:2019/12/19 最終更新日:2020/02/19

JVNVU#98104709
Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。

影響を受けるシステム

CVE-2019-12418

  • Apache Tomcat 9.0.0.M1 から 9.0.28 まで
  • Apache Tomcat 8.5.0 から 8.5.47 まで
  • Apache Tomcat 7.0.0 から 7.0.97 まで
CVE-2019-17563
  • Apache Tomcat 9.0.0.M1 から 9.0.29 まで
  • Apache Tomcat 8.5.0 から 8.5.49 まで
  • Apache Tomcat 7.0.0 から 7.0.98 まで

詳細情報

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • 情報漏えい - CVE-2019-12418
    Apache Tomcat が JMX Remote Lifecycle Listener で構成されている場合に、RMI レジストリの操作による中間者攻撃 (man-in-the-middle attack) が行われ、JMX インターフェースのアクセスに使用されるユーザ名とパスワードを取得される可能性があります。
    また開発者によると、本脆弱性をリモートから悪用可能な JRE の脆弱性、CVE-2019-2684 にも注意する必要があるとのことです。

  • セッション固定攻撃 - CVE-2019-17563
    FORM 認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • Tomcat インスタンスを完全に制御される - CVE-2019-12418
  • なりすましが行われることで、FORM 認証されたユーザの権限で任意の操作を実行される - CVE-2019-17563

対策方法

CVE-2019-12418 への対策:
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。

  • Apache Tomcat 9.0.29
  • Apache Tomcat 8.5.49
  • Apache Tomcat 7.0.99
ワークアラウンドを実施する
Tomcat の JmxRemoteLifecycleListener を無効にし、JVM が提供する remote JMX facilities を利用する。

CVE-2019-17563 への対策:
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。
  • Apache Tomcat 9.0.30
  • Apache Tomcat 8.5.50
  • Apache Tomcat 7.0.99

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
日本電気株式会社 該当製品あり 2020/02/14

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-12418
CVE-2019-17563
JVN iPedia

更新履歴

2020/02/19
日本電気株式会社のベンダステータスが更新されました