Tomcatの脆弱性が出ましたね、
http://jvn.jp/vu/JVNVU94679988/index.html
まずそうなやつの詳細は
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5346
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5351
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0714
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0763
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0706
こんなんですね。
- CVE-2015-5346:セッション固定、やばい
- CVE-2015-5351:managerとhost-managerがあるとやばい、でも普通は配置してなくね?
- CVE-2016-0714:SecurityManagerでセキュリティ対策している人で、それを回避されるとまずいケースがある場合はやばい
- CVE-2016-0763:SecurityManagerでセキュリティ対策している人で、それを回避されるとまずいケースがある場合はやばい
- CVE-2016-0706:SecurityManagerでセキュリティ対策している人で、それを回避されるとまずいケースがある場合はやばい
という感じかな?CVE-2015-5346で基本的にアウトなのでアップデートが必要かと思いますが、まだ全て修正できるパッケージが出ていないような?
https://alas.aws.amazon.com/
AmazonLinuxではまだTomcat7.0.68は出ていないようです。 ⇢ 3/29にリリースされました。
