公開日:2017/09/20 最終更新日:2017/11/09

JVNVU#99259676
Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。

影響を受けるシステム

CVE-2017-12615

  • Apache Tomcat 7.0.0 から 7.0.79 まで
CVE-2017-12616
  • Apache Tomcat 7.0.0 から 7.0.80 まで
CVE-2017-12617
  • Apache Tomcat 9.0.0.M1 から 9.0.0 まで
  • Apache Tomcat 8.5.0 から 8.5.22 まで
  • Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
  • Apache Tomcat 7.0.0 から 7.0.81 まで

詳細情報

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  • 特定の条件下で JSP ファイルをアップロードされる (CVE-2017-12615、CVE-2017-12617)
  • 情報漏えい (CVE-2017-12616)

想定される影響

想定される影響は各脆弱性により異なりますが、遠隔からの任意のコード実行や情報漏えいなどの影響を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者はこれらの脆弱性の対策版として、次のバージョンをリリースしています。

  • Apache Tomcat 9.0.1
  • Apache Tomcat 8.5.23
  • Apache Tomcat 8.0.47
  • Apache Tomcat 7.0.82

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2017/10/18
日本電気株式会社 該当製品あり 2017/11/08

参考情報

  1. JPCERT-AT-2017-0038
    Apache Tomcat における脆弱性に関する注意喚起

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-12615
CVE-2017-12616
CVE-2017-12617
JVN iPedia

更新履歴

2017/10/04
影響を受けるシステム、詳細情報、対策方法、およびベンダ情報を更新し、関連文書に CVE 番号を追加しました。
2017/10/18
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2017/11/09
日本電気株式会社のベンダステータスが更新されました