JPCERT-AT-2018-0030
JPCERT/CC
2018-07-23
それぞれの脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。
Apache Software Foundation
CVE-2018-1336 Apache Tomcat - Denial of Service
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8034 Apache Tomcat - Security Constraint Bypass
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8037 Apache Tomcat - Information Disclosure
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700@minotaur.apache.org%3E
Apache Software Foundation は CVE-2018-1336 および CVE-2018-8037 の深刻度を「Important」と、CVE-2018-8034 の深刻度を「Low」と評価しています。「III. 対策」を参考に早期の対応を検討してください。
- CVE-2018-1336
- Apache Tomcat 9.0.0.M9 から 9.0.7
- Apache Tomcat 8.5.0 から 8.5.30
- Apache Tomcat 8.0.0.RC1 から 8.0.51
- Apache Tomcat 7.0.28 から 7.0.86
- CVE-2018-8034
- Apache Tomcat 9.0.0.M1 から 9.0.9
- Apache Tomcat 8.5.0 から 8.5.31
- Apache Tomcat 8.0.0.RC1 から 8.0.52
- Apache Tomcat 7.0.35 から 7.0.88
- CVE-2018-8037
- Apache Tomcat 9.0.0.M9 から 9.0.9
- Apache Tomcat 8.5.5 から 8.5.31
- Apache Tomcat 9.0.10
- Apache Tomcat 8.5.32
- Apache Tomcat 8.0.53
- Apache Tomcat 7.0.90
Apache Software Foundation
Fixed in Apache Tomcat 9.0.10
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10
Apache Software Foundation
Fixed in Apache Tomcat 8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32
Apache Software Foundation
Fixed in Apache Tomcat 8.0.53
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53
Apache Software Foundation
Fixed in Apache Tomcat 7.0.90
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90
Apache Software Foundation
CVE-2018-1336 Apache Tomcat - Denial of Service
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8034 Apache Tomcat - Security Constraint Bypass
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8037 Apache Tomcat - Information Disclosure
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700@minotaur.apache.org%3E
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT/CC
2018-07-23
I. 概要
Apache Software Foundation は、2018年7月22日 (標準時間) に、Apache Tomcat の脆弱性 (CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037) に関する情報を公開しました。脆弱性 (CVE-2018-1336) では、UTF-8 デコーダの処理に不適切な処理があり、悪用された場合にサービス運用妨害 (DoS) 攻撃を受ける可能性があります。それぞれの脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。
Apache Software Foundation
CVE-2018-1336 Apache Tomcat - Denial of Service
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8034 Apache Tomcat - Security Constraint Bypass
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8037 Apache Tomcat - Information Disclosure
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700@minotaur.apache.org%3E
Apache Software Foundation は CVE-2018-1336 および CVE-2018-8037 の深刻度を「Important」と、CVE-2018-8034 の深刻度を「Low」と評価しています。「III. 対策」を参考に早期の対応を検討してください。
II. 対象
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。- CVE-2018-1336
- Apache Tomcat 9.0.0.M9 から 9.0.7
- Apache Tomcat 8.5.0 から 8.5.30
- Apache Tomcat 8.0.0.RC1 から 8.0.51
- Apache Tomcat 7.0.28 から 7.0.86
- CVE-2018-8034
- Apache Tomcat 9.0.0.M1 から 9.0.9
- Apache Tomcat 8.5.0 から 8.5.31
- Apache Tomcat 8.0.0.RC1 から 8.0.52
- Apache Tomcat 7.0.35 から 7.0.88
- CVE-2018-8037
- Apache Tomcat 9.0.0.M9 から 9.0.9
- Apache Tomcat 8.5.5 から 8.5.31
III. 対策
Apache Software Foundation より、修正済みのバージョンが提供されています。修正済みのバージョンを適用することをご検討ください。- Apache Tomcat 9.0.10
- Apache Tomcat 8.5.32
- Apache Tomcat 8.0.53
- Apache Tomcat 7.0.90
IV. 参考情報
Apache Software Foundation
Fixed in Apache Tomcat 9.0.10
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.10
Apache Software Foundation
Fixed in Apache Tomcat 8.5.32
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.32
Apache Software Foundation
Fixed in Apache Tomcat 8.0.53
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.53
Apache Software Foundation
Fixed in Apache Tomcat 7.0.90
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.90
Apache Software Foundation
CVE-2018-1336 Apache Tomcat - Denial of Service
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8034 Apache Tomcat - Security Constraint Bypass
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E
Apache Software Foundation
CVE-2018-8037 Apache Tomcat - Information Disclosure
https://mail-archives.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700@minotaur.apache.org%3E
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/