Apache Tomcatの脆弱性情報(Moderate: CVE-2020-13943)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
10/12/2020にApache Tomcatの脆弱性情報(Moderate: CVE-2020-13943)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[関連リンク(最新5件)]
Apache Tomcatの脆弱性情報(Important: CVE-2020-11996)と新バージョン(10.0.0-M6/9.0.36/8.5.56) Apache Tomcatの脆弱性情報(High: CVE-2020-9484) Apache Tomcatの複数の脆弱性情報(High: CVE-2020-1938: Ghostcat, Low: CVE-2020-1935, CVE-2019-17569)と新バージョン(9.0.31/8.5.51/7.0.100) tomcatの複数の脆弱性情報(CVE-2019-12418, CVE-2019-17563) Apache Tomcatの脆弱性情報 (Important: CVE-2019-10072) Apache Tomcatの脆弱性情報 ( Low/Moderate: CVE-2019-0221) Apache Tomcat for Windowsの脆弱性情報 ( Important: CVE-2019-0232 )一次情報源
CVE番号 | 影響するバージョン | リファレンス | Priority | CVSS |
---|---|---|---|---|
CVE-2020-13943 | 10.0.0-M1 - 10.0.0-M7, 9.0.0.M1 - 9.0.37, 8.5.0 - 8.5.57 |
Vendor: Moderate |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13943
- HTTP/2リクエストの取り違えの可能性
- HTTP/2クライアントが接続の同時ストリームで許可された最大数を超えた際には、その接続の引続きのリクエストが意図されたヘッダーではなく(HTTP/2疑似ヘッダーを含む)HTTPヘッダを含む可能性があります。これにより、ユーザが意図しないリソースからの応答を見る可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
[参考]
Moderate: HTTP/2 request mix-up CVE-2020-13943/p>
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
セミナー情報1
コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。
今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。
OSSに関するお困りごとは サイオス OSSよろず相談室まで
サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。
フォローしませんか?