概要
Apache Software Foundation は、2018年7月22日 (標準時間) に、Apache Tomcat の脆弱性 (CVE-2018-1336、CVE-2018-8034 および CVE-2018-8037) に関する情報を公開しました。脆弱性 (CVE-2018-1336) では、UTF-8 デコーダの処理に不適切な処理があり、悪用された場合にサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
それぞれの脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。
Apache Software Foundation
CVE-2018-1336 Apache Tomcat – Denial of Service
Apache Software Foundation
CVE-2018-8034 Apache Tomcat – Security Constraint Bypass
Apache Software Foundation
CVE-2018-8037 Apache Tomcat – Information Disclosure
Apache Software Foundation は CVE-2018-1336 および CVE-2018-8037 の深刻度を「Important」と、CVE-2018-8034 の深刻度を「Low」と評価しています。「対策」を参考に早期の対応を検討してください。
対象
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。
CVE-2018-1336
- Apache Tomcat 9.0.0.M9 から 9.0.7
- Apache Tomcat 8.5.0 から 8.5.30
- Apache Tomcat 8.0.0.RC1 から 8.0.51
- Apache Tomcat 7.0.28 から 7.0.86
CVE-2018-8034
- Apache Tomcat 9.0.0.M1 から 9.0.9
- Apache Tomcat 8.5.0 から 8.5.31
- Apache Tomcat 8.0.0.RC1 から 8.0.52
- Apache Tomcat 7.0.35 から 7.0.88
CVE-2018-8037
- Apache Tomcat 9.0.0.M9 から 9.0.9
- Apache Tomcat 8.5.5 から 8.5.31
対策
Apache Software Foundation より、修正済みのバージョンが提供されています。 修正済みのバージョンを適用することをご検討ください。
- Apache Tomcat 9.0.10
- Apache Tomcat 8.5.32
- Apache Tomcat 8.0.53
- Apache Tomcat 7.0.90
参考情報
Apache Software Foundation
Fixed in Apache Tomcat 7.0.81
Apache Software Foundation
Fixed in Apache Tomcat 8.5.32
Apache Software Foundation
Fixed in Apache Tomcat 8.0.53
Apache Software Foundation
Fixed in Apache Tomcat 7.0.902
Apache Software Foundation
CVE-2018-1336 Apache Tomcat – Denial of Service
Apache Software Foundation
CVE-2018-8034 Apache Tomcat – Security Constraint Bypass
Apache Software Foundation
CVE-2018-8037 Apache Tomcat – Information Disclosure
備考
最終更新日 2018.07.25
