2016/03のTomcatの脆弱性について

alkoshikawa 573views 更新:2016年3月3日

Tomcatの脆弱性が出ましたね、

http://jvn.jp/vu/JVNVU94679988/index.html

まずそうなやつの詳細は

こんなんですね。

  • CVE-2015-5346:セッション固定、やばい
  • CVE-2015-5351:managerとhost-managerがあるとやばい、でも普通は配置してなくね?
  • CVE-2016-0714:SecurityManagerでセキュリティ対策している人で、それを回避されるとまずいケースがある場合はやばい
  • CVE-2016-0763:SecurityManagerでセキュリティ対策している人で、それを回避されるとまずいケースがある場合はやばい
  • CVE-2016-0706:SecurityManagerでセキュリティ対策している人で、それを回避されるとまずいケースがある場合はやばい

という感じかな?CVE-2015-5346で基本的にアウトなのでアップデートが必要かと思いますが、まだ全て修正できるパッケージが出ていないような?

https://alas.aws.amazon.com/

AmazonLinuxではまだTomcat7.0.68は出ていないようです。 ⇢ 3/29にリリースされました。

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません