JVNDB-2016-006229
|
Apache Tomcat に情報漏えいの脆弱性
|
|
Apache Tomcat には、情報漏えいの脆弱性が存在します。
【2017年1月6日 更新】
Apache Tomcat の NIO HTTP コネクタに含まれているファイル送信コードには、ファイルの送信処理にエラーがあった場合、現在の Processor オブジェクトが Processor キャッシュに複数回追加される問題が存在します。これは、複数のリクエストが同時に処理される場合に同一の Processor が使用される可能性があることを意味します。複数のリクエストの処理に同一の Processor が使用されることで、セッション ID やレスポンス本体などの情報が他のセッションに漏えいする可能性があります。
本脆弱性は Apache Tomcat 8.5.x で発見され、Apache Tomcat 8.5.x において行われた Connector コードのリファクタリングで作りこまれたものであると考えられていましたが、開発者によるさらなる調査の結果、現在サポートされているすべてのバージョンの Apache Tomcat に本脆弱性が存在することが判明しています。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat 9.0.0.M1 から 9.0.0.M13 まで
- Apache Tomcat 8.5.0 から 8.5.8 まで
|
【2017年1月6日 追記】
- Apache Tomcat 8.0.0.RC1 から 8.0.39 まで
- Apache Tomcat 7.0.0 から 7.0.73 まで
- Apache Tomcat 6.0.16 から 6.0.48 まで
本脆弱性の公表当初、開発者は、Apache Tomcat 8.5.x より前のバージョンは影響を受けないとしていましたが、これらのバージョンも影響を受けることが判明しています。
|
|
通信内容が漏えいする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。
Apache Tomcat 9.0.0.M15
Apache Tomcat 8.5.9
【2017年1月6日 追記】
開発者は、追加で次の対策バージョンをリリースします。
対策バージョンがリリースされ次第、最新版へアップデートしてください。
* Apache Tomcat 8.0.40
* Apache Tomcat 7.0.74
* Apache Tomcat 6.0.49
|
|
Apache Software Foundation
|
|
|
|
- CVE-2016-8745
|
|
- JVN : JVNVU#97321122
- National Vulnerability Database (NVD) : CVE-2016-8745
|
|
- [2016年12月15日]
掲載
[2017年01月11日]
概要:内容を更新
ベンダ情報:Apache Software Foundation (Fixed in Apache Tomcat 8.0.40) を追加
ベンダ情報:Apache Software Foundation (Fixed in Apache Tomcat 7.0.74) を追加
ベンダ情報:Apache Software Foundation (Fixed in Apache Tomcat 6.0.49) を追加
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
対策:内容を更新
- [2018年02月28日]
参考情報:National Vulnerability Database (NVD) (CVE-2016-8745) を追加
|
