JVNVU#98104709
Apache Tomcat の複数の脆弱性に対するアップデート

The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。

CVE-2019-12418

• Apache Tomcat 9.0.0.M1 から 9.0.28 まで
• Apache Tomcat 8.5.0 から 8.5.47 まで
• Apache Tomcat 7.0.0 から 7.0.97 まで

• Apache Tomcat 9.0.0.M1 から 9.0.29 まで
• Apache Tomcat 8.5.0 から 8.5.49 まで
• Apache Tomcat 7.0.0 から 7.0.98 まで

The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。

• 情報漏えい - CVE-2019-12418
  Apache Tomcat が JMX Remote Lifecycle Listener で構成されている場合に、RMI レジストリの操作による中間者攻撃 (man-in-the-middle attack) が行われ、JMX インターフェースのアクセスに使用されるユーザ名とパスワードを取得される可能性があります。
  また開発者によると、本脆弱性をリモートから悪用可能な JRE の脆弱性、CVE-2019-2684 にも注意する必要があるとのことです。


• セッション固定攻撃 - CVE-2019-17563
  FORM 認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• Tomcat インスタンスを完全に制御される - CVE-2019-12418
• なりすましが行われることで、FORM 認証されたユーザの権限で任意の操作を実行される - CVE-2019-17563

CVE-2019-12418 への対策：
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。

• Apache Tomcat 9.0.29
• Apache Tomcat 8.5.49
• Apache Tomcat 7.0.99

• Apache Tomcat 9.0.30
• Apache Tomcat 8.5.50
• Apache Tomcat 7.0.99