【活用ガイド】

JVNDB-2018-005592

Apache Tomcat の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

  * UTF-8 デコーダにおける補助文字の取り扱い不備により、デコーダが無限ループとなる (CVE-2018-1336)
  * コネクタ NIO/NIO2 におけるコネクションの管理不備 (CVE-2018-8037)
  * WebSocket クライアントの TLS 接続において、ホスト名が検証されない (CVE-2018-8034)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 9.0.0.M9 から 9.0.7 まで (CVE-2018-1336)
  • Apache Tomcat 8.5.0 から 8.5.30 まで (CVE-2018-1336)
  • Apache Tomcat 8.0.0.RC1 から 8.0.51 (CVE-2018-1336)
  • Apache Tomcat 7.0.28 から 7.0.86 まで (CVE-2018-1336)
  • Apache Tomcat 9.0.0.M9 から 9.0.9 まで (CVE-2018-8037)
  • Apache Tomcat 8.5.5 から 8.5.31 まで (CVE-2018-8037)
  • Apache Tomcat 9.0.0.M1 から 9.0.9 まで (CVE-2018-8034)
  • Apache Tomcat 8.5.0 から 8.5.31 まで (CVE-2018-8034)
  • Apache Tomcat 8.0.0.RC1 から 8.0.52 まで (CVE-2018-8034)
  • Apache Tomcat 7.0.35 から 7.0.88 まで (CVE-2018-8034)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  * サービス運用妨害 (DoS) 攻撃が行われる - CVE-2018-1336
  * 既存のユーザセッションが別の接続に再利用される - CVE-2018-8037
  * 中間者攻撃 (man-in-the-middle attack) が行われる - CVE-2018-8034
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者はこれらの脆弱性の対策版として、次のバージョンをリリースしています。

  * Apache Tomcat 9.0.10
  * Apache Tomcat 8.5.32
  * Apache Tomcat 8.0.53
  * Apache Tomcat 7.0.90
ベンダ情報

Apache Software Foundation 日本電気
  • NEC製品セキュリティ情報 : NV18-016
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-1336
  2. CVE-2018-8034
  3. CVE-2018-8037
参考情報

  1. JVN : JVNVU#90416738
更新履歴

  • [2018年07月24日]
      掲載
  • [2018年09月04日]
      ベンダ情報:日本電気 (NV18-016) を追加