【活用ガイド】

JVNDB-2016-007654

Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  * セキュリティマネージャの制限回避 (CVE-2016-5018, CVE-2016-6794, CVE-2016-6796)
  * ResourceLinkFactory のアクセス制限不備 (CVE-2016-6797)
  * レルム実装へのタイミング攻撃 (CVE-2016-0762)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 9.0.0.M1 から 9.0.0.M9 まで
  • Apache Tomcat 8.5.0 から 8.5.4 まで
  • Apache Tomcat 8.0.0.RC1 から 8.0.36 まで
  • Apache Tomcat 7.0.0 から 7.0.70 まで
  • Apache Tomcat 6.0.0 から 6.0.45 まで
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Component Container
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Primary Server Base Version 5
  • Cosminexus Primary Server Base Version 6
  • Cosminexus Primary Server Version 6
  • Cosminexus Studio Light Version
  • Embedded Cosminexus Server Version 5
  • uCosminexus Application Server
  • uCosminexus Application Server (64)
  • uCosminexus Application Server -R
  • uCosminexus Application Server Express
  • uCosminexus Application Server Light
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Developer
  • uCosminexus Developer 01
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for ATM
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Primary Server Base
  • uCosminexus Primary Server Base(64)
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform (64)
  • uCosminexus Service Platform - Messaging
  • プログラミング環境 for Java

これら以前の、サポート対象外の Apache Tomcat も本脆弱性の影響を受ける可能性があります。
想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  * システムプロパティや登録ユーザ名などに関する情報漏えい
  * グローバル JNDI リソースへの不正なアクセス
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。

  * Apache Tomcat 9.0.0.M10
  * Apache Tomcat 8.5.5
  * Apache Tomcat 8.0.37
  * Apache Tomcat 7.0.72
  * Apache Tomcat 6.0.47
ベンダ情報

Apache Software Foundation 日本電気
  • NEC製品セキュリティ情報 : NV18-008
日立
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-5018
  2. CVE-2016-6794
  3. CVE-2016-6796
  4. CVE-2016-6797
  5. CVE-2016-0762
参考情報

  1. JVN : JVNVU#95366887
  2. National Vulnerability Database (NVD) : CVE-2016-0762
  3. National Vulnerability Database (NVD) : CVE-2016-5018
  4. National Vulnerability Database (NVD) : CVE-2016-6794
  5. National Vulnerability Database (NVD) : CVE-2016-6796
  6. National Vulnerability Database (NVD) : CVE-2016-6797
更新履歴

  • [2017年03月09日]
      掲載
    [2017年04月05日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2017-106) を追加
  • [2018年02月28日]
      参考情報:National Vulnerability Database (NVD) (CVE-2016-5018) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-6794) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-6796) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-6797) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-0762) を追加
  • [2018年05月01日]
      ベンダ情報:日本電気 (NV18-008) を追加

公表日2016/10/28
登録日2017/03/09
最終更新日2018/05/01