Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Tomcat」に2件の脆弱性 - 一部は旧版でも対応

「Java Servlet」の実行環境である「Apache Tomcat」の開発チームは、脆弱性を解消したアップデートをリリースした。一部環境では、すでに修正済みであることも明らかにしている。

アップデートにより2件の脆弱性へ対処したもの。具体的には「JMX Remote Lifecycle Listener」によって構成した環境で情報漏洩が生じ、インスタンスを完全に制御されるおそれがある「CVE-2019-12418」に対応した。

12月17日に「同7.0.99」をリリースし、脆弱性を解消したことを受けて、11月21日にリリース済みである「同9.0.29」「同8.5.49」に同脆弱性の修正が含まれていたことを明らかにした。重要度は4段階中3番目にあたる「中(Moderate)」としている。

「JMX Remote Lifecycle Listener」については、将来的なリリースで非推奨となり、「同10」や2020年12月31日以降のリリースで削除される見込みだという。

また「同9.0.30」「同8.5.50」「同7.0.99」でFORM認証において「セッション固定攻撃」が可能となる脆弱性「CVE-2019-17563」を修正した。重要度は1段階低い「低(Low)」とレーティングしている。

(Security NEXT - 2019/12/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Adobeがアップデートを公開 - 7製品に脆弱性
MS、2021年最初の月例セキュリティパッチを公開 - 一部で悪用も
「SKYSEA Client View」のインストーラに脆弱性 - 最新版の利用を
「Microsoft Edge 87.0.664.75」がリリース - 脆弱性13件を修正
脆弱性に対処した「Thunderbird 78.6.1」をリリース
PHPにセキュリティ更新 - 「PHP 7.4.14」「同7.3.26」が公開
NVIDIAのGPUドライバに複数脆弱性 - vGPUソフトウェアにも
「Firefox」に深刻な脆弱性 - Android版にも影響
「Chrome 87.0.4280.141」が公開 - セキュリティに関する16件の修正を実施
ウェブセキュリティ製品に複数脆弱性 - トレンド