Tomcat 7.x/8.x/9.xに関しての脆弱性( CVE-2018-8014 : Low )

05/16/2018に、Tomcat 7.x/8.x/9.xに関しての脆弱性情報 ( CVE-2018-8014 )が出ています。Lowなものなので大丈夫と思いますが、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

一次情報源

Low

各ディストリビューションの情報を確認してください。

CORS(Cross-Origin Resource Sharing)フィルタのデフォルト設定値が安全でない問題
重要度 – Low
影響するバージョン : 9.0.0.M1 to 9.0.4 /8.0.0.RC1 to 8.0.49/7.0.0 to 7.0.84
CORS(Cross-Origin Resource Sharing)フィルタのデフォルト設定値では、全てのOriginで supportsCredentialsを有効にしています。CORSフィルタを用いる場合にはユーザは環境設定をデフォルト値から変更しているはずです。そのため、殆どのユーザはこの問題による影響はないと思われます。

詳細は、各ディストリビューションの提供元にご確認ください

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。