「Apache Tomcat」に複数の脆弱性、最新版への更新をJVNが呼びかけ

「Apache Tomcat」に複数の脆弱性、最新版への更新をJVNが呼びかけ8月15日、独立行政法人 情報処理推進機構(IPA)は、脆弱性関連情報を提供するJVNを通じて「Apache Tomcat(アパッチ トムキャット)」に関する複数の脆弱性について注意を呼びかけた。これは、脆弱性を解消した複数のアップデートが公開されたことを受けたものだ。

確認された脆弱性は、異なるキャッシュ情報を参照するおそれがあるキャッシュ・ポイズニングの脆弱性(CVE-2017-7674)や、「HTTP/2」の実装における認証回避の脆弱性(CVE-2017-7675)などで、それぞれ最新版である「Apache Tomcat 9.0.0.M22」「Apache Tomcat 8.5.16」「Apache Tomcat 8.0.45」「Apache Tomcat 7.0.79」によって解消されている。

Apache Tomcatは、「サーブレットコンテナ」と呼ばれる、Javaで作成されたプログラム(Webサーバー上で動作する「Java Servlet」)の実行ソフトのこと。簡易的なWebサーバーの機能も備えており、サーバー上で動的なページを生成可能なJava Servletとともに多くのWebサイトで利用されている。

JVNでは、想定される影響は脆弱性により異なるものの、DNSサーバーのキャッシュ機能を悪用し、ドメイン名の乗っ取りや偽サイトへの転送などを行う「DNSキャッシュ・ポイズニング」や、管理者がユーザーに見せるつもりのない重要なファイルやディレクトリーにアクセスできてしまう「ディレクトリトラバーサル」などの攻撃を受ける可能性があるとして、開発者やWeb管理者に早急に最新版へアップデートすることを推奨している。

Apache Tomcat の複数の脆弱性に対するアップデート(JVNVU#91991349)
【セキュリティ ニュース】「Apache Tomcat」のキャッシュ処理などに脆弱性 - 既存のアップデートで対応済み(Security NEXT)

日立ソリューションズのセキュリティソリューション

トータルセキュリティソリューション

トータルセキュリティソリューション

確かな技術と豊富な経験・実績を持つ日立ソリューションズだからできる様々なセキュリティニーズに対応したソリューションをご提供します。

詳しく見る

あなたへのオススメ

人気記事ランキング