BLOGTIMES
2017/10/04

Tomcat の脆弱性に注意(CVE-2017-12615, CVE-2017-12616, CVE-2017-12617)

  cve  tomcat 
このエントリーをはてなブックマークに追加

Apache Tomcat の脆弱性*1CVE-2017-12615, CVE-2017-12615, CVE-2017-12617)について JPCERT/CC から注意喚起が出ていたのでメモ。

Apache Tomcat における脆弱性に関する注意喚起

Apache Software Foundation は、2017年9月19日 (標準時間) に、Apache Tomcat の脆弱性 (CVE-2017-12615 および CVE-2017-12616) に関する情報を公開しました。脆弱性 (CVE-2017-12615) では、Windows で利用している Apache Tomcat において、readonly パラメータを false に設定し、HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があります。脆弱性 (CVE-2017-12616) では、 VirtualDirContext を利用している場合に、細工したリクエストを受けること で、セキュリティ制限がバイパスされ、VirtualDirContext を使用したリソース配下の JSP ソースコードを閲覧される可能性があります。

CVE-2017-12615 の方は Windows でしかも設定をデフォルトから変更していないといけないので、あまり条件に該当する環境もないのかなと思いますが、CVE-2017-12617 の方を読むと Windows でなくても攻略可能のなようなので、影響を受けるバージョンをきちんと確認しつつ対処する必要がありそうです。また、 VirtualDirContext を使っている場合には CVE-2017-12616 についても気にする必要がありそうです。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9667
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン