Tomcatの複数の脆弱性 ( CVE-2017-12617, CVE-2017-12615 , CVE-2017-12616 ) — | サイオスOSS | サイオステクノロジー

Tomcatの複数の脆弱性 ( CVE-2017-12617, CVE-2017-12615 , CVE-2017-12616 )

9/19に、Tomcat に関して複数の脆弱性情報 ( CVE-2017-12617, CVE-2017-12615, CVE-2017-12616 )が出ています。Importantなものなので、今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

9/19に、Tomcatに関して複数の脆弱性情報 ( CVE-2017-12617, CVE-2017-12615 (Windows), CVE-2017-12616 )が出ています。Importantなものなので、今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

2017/09/25追記: CVE-2017-12617(Windows)の情報が出ていたので追記しました。

2017/10/02追記: Windowsに限定しない問題であるとの情報が出ていたので、WindowsをWindows and Othersに変更しました。

2017/10/04追記:公式から、CVE-2017-12617に関してはtomcat-8, tomcat-9も対象になると発表が有りましたので、対象バージョンとタイトルを修正しました。


Priority

Important(CVE-2017-12617, CVE-2017-12615, CVE-2017-12616)

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2017-12617
    • リモートからの任意のコード実行の可能性

    • 重要度 – Important

    • 影響するバージョン : 9.0.0.M1 to 9.0.0, 8.5.0 to 8.5.22, 8.0.0.RC1 to 8.0.46, 7.0.0 to 7.0.81

    • サーバ上の設定でHTTP PUTが有効になった状態(つまり、readonly initialisationパラメータをfalseに設定している時)でで動作している際に、特別に細工されたリクエストにより、サーバにJSPファイルをアップロードすることが可能です。このJSPにコードを仕込むことで、サーバ上で任意のコードを実行することが可能になります。

      9/19に公開されたCVE-2017-12615に対する修正では、この問題は解決されませんでした。

  • CVE-2017-12615
    • リモートからの任意のコード実行の可能性

    • 重要度 – Important

    • 影響するバージョン : Windows:

    • 7.0.0 to 7.0.79

    • Windows上でHTTP PUTが有効になった状態(つまり、readonly initialisationパラメータをfalseに設定している時)でで動作している際に、特別に細工されたリクエストにより、サーバにJSPファイルをアップロードすることが可能です。このJSPにコードを仕込むことで、サーバ上で任意のコードを実行することが可能になります。

      この修正は実際には、リリース時のチェックの関係で7.0.81に加えられているため、更新する際には7.0.81にする必要が有ります。

  • CVE-2017-12616
    • 情報流出の可能性

    • 重要度 – Important

    • 影響するバージョン : 7.0.0 to 7.0.80

    • VirtualDirContextを使用している際に、セキュリティ制限をバイパスすることが出来ます。これにより、特別に細工されたリクエストを用いてVirtualDirContextにより提供されるJSPリソースのソースコードを見る事が可能になります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』
参考にして下さい。

また、アプリケーションの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-7.html

セキュリティ系連載案内


セミナー情報

10/12(水)に「OSSインフラナイターvol.2」と題して、インフラ関連のセミナーを行います。この回では、『OSSエキスパート鼎談シリーズ: ここだけでしか聞けないAnsibleの話 』と題してAnsibleの最新動向から実際の効果を、鼎談を交えて説明致します。

今回も、前回に引き続き、ゲスト講師をお招きし講演をいただきます。

https://connpass.com/event/67715/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

—–

タイトルとURLをコピーしました