【活用ガイド】

JVNDB-2018-005592

Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  * UTF-8 デコーダにおける補助文字の取り扱い不備により、デコーダが無限ループとなる (CVE-2018-1336)
  * コネクタ NIO/NIO2 におけるコネクションの管理不備 (CVE-2018-8037)
  * WebSocket クライアントの TLS 接続において、ホスト名が検証されない (CVE-2018-8034)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 9.0.0.M9 から 9.0.7 まで (CVE-2018-1336)
  • Apache Tomcat 8.5.0 から 8.5.30 まで (CVE-2018-1336)
  • Apache Tomcat 8.0.0.RC1 から 8.0.51 (CVE-2018-1336)
  • Apache Tomcat 7.0.28 から 7.0.86 まで (CVE-2018-1336)
  • Apache Tomcat 9.0.0.M9 から 9.0.9 まで (CVE-2018-8037)
  • Apache Tomcat 8.5.5 から 8.5.31 まで (CVE-2018-8037)
  • Apache Tomcat 9.0.0.M1 から 9.0.9 まで (CVE-2018-8034)
  • Apache Tomcat 8.5.0 から 8.5.31 まで (CVE-2018-8034)
  • Apache Tomcat 8.0.0.RC1 から 8.0.52 まで (CVE-2018-8034)
  • Apache Tomcat 7.0.35 から 7.0.88 まで (CVE-2018-8034)
日本電気
  • CONNEXIVE PF
  • EnterpriseIdentityManager
  • ESMPRO/ServerManager
  • InfoCage
  • IoT 共通基盤
  • SimpWright
  • SystemDirector Enterprise
  • SystemDirector Enterprise Asset Innovation Suite
  • WebOTX Application Server Express
  • WebOTX Application Server Standard
  • WebOTX Application Server Enterprise
  • WebOTX Developer
  • WebOTX Enterprise Service Bus
  • WebOTX Portal
  • WebSAM Application Navigator
  • WebSAM MCOperations
  • WebSAM SystemManager
  • WebSAM SystemManager G
  • WebSAM vDC Automation
  • NEC Cyber Security Platform
  • UNIVERGE 3C
  • iStorage HSシリーズ

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  * サービス運用妨害 (DoS) 攻撃が行われる - CVE-2018-1336
  * 既存のユーザセッションが別の接続に再利用される - CVE-2018-8037
  * 中間者攻撃 (man-in-the-middle attack) が行われる - CVE-2018-8034
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者はこれらの脆弱性の対策版として、次のバージョンをリリースしています。

  * Apache Tomcat 9.0.10
  * Apache Tomcat 8.5.32
  * Apache Tomcat 8.0.53
  * Apache Tomcat 7.0.90
ベンダ情報

Apache Software Foundation 日本電気
  • NEC製品セキュリティ情報 : NV18-016
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-1336
  2. CVE-2018-8034
  3. CVE-2018-8037
参考情報

  1. JVN : JVNVU#90416738
  2. National Vulnerability Database (NVD) : CVE-2018-8034
  3. National Vulnerability Database (NVD) : CVE-2018-8037
  4. National Vulnerability Database (NVD) : CVE-2018-1336
更新履歴

  • [2018年07月24日]
      掲載
  • [2018年09月04日]
      ベンダ情報:日本電気 (NV18-016) を追加
  • [2019年07月24日]
      参考情報:National Vulnerability Database (NVD) (CVE-2018-1336) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-8034) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-8037) を追加
  • [2023年09月05日]
      影響を受けるシステム:ベンダ情報 (NV18-016) の更新に伴い内容を更新

公表日2018/07/23
登録日2018/07/24
最終更新日2023/09/06