【活用ガイド】

JVNDB-2018-005593

Apache Tomcat Native Connector の複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache Tomcat Native Connector に関する次の複数の脆弱性に対するアップデートが公開されました。

  * 不正な OCSP レスポンスが適切に処理されない問題 (CVE-2018-8019)
  * OCSP レスポンスに含まれる証明書のステータス情報が適切にチェックされない問題 (CVE-2018-8020)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat Native Connector 1.2.0 から 1.2.16 まで
  • Apache Tomcat Native Connector 1.1.23 から 1.1.34 まで

想定される影響

証明書の失効情報が適切に処理されないことにより、失効した証明書を用いたユーザが認証されてしまう可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報

Apache Software Foundation サイバートラスト株式会社 日本電気
  • NEC製品セキュリティ情報 : NV18-015
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-8019
  2. CVE-2018-8020
参考情報

  1. JVN : JVNVU#99687822
  2. National Vulnerability Database (NVD) : CVE-2018-8019
  3. National Vulnerability Database (NVD) : CVE-2018-8020
更新履歴

  • [2018年07月24日]
      掲載
  • [2018年07月31日]
      影響を受けるシステム:JVNVU#99687822 の更新に伴い内容を更新
  • [2018年09月04日]
      ベンダ情報:日本電気 (NV18-015) を追加
  • [2018年10月22日]
      ベンダ情報:サイバートラスト株式会社 (サイバートラスト株式会社 の告知ページ) を追加
  • [2019年07月24日]
       参考情報:National Vulnerability Database (NVD) (CVE-2018-8019) を追加
       参考情報:National Vulnerability Database (NVD) (CVE-2018-8020) を追加

公表日2018/07/23
登録日2018/07/24
最終更新日2019/07/24