2月28日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Tomcat 8.0.32、8.0.30、8.0.27、7.0.68、7.0.67、7.0.65、6.0.45での脆弱性対策(2016/02/22)
2月22日、Tomcat 8.0.32、8.0.30、8.0.27、7.0.68、7.0.67、7.0.65、6.0.45で解決した脆弱性情報が掲載されました(図1)。
これらのバージョンで報告された脆弱性は計7件で、セッション管理の問題(CVE-2015-5346、CVE-2015-5351)、セキュリティマネージャ機能の迂回により任意のコード実行(CVE-2016-0714)、情報漏洩(CVE-2016-0706)やデータ改ざん(CVE-2016-0763)を許してしまう脆弱性、ディレクトリー有無の判定を許してしまう問題(CVE-2015-5345)、ディレクトリートラバーサル(CVE-2015-5174)です。
[画像のクリックで拡大表示]
図1●Tomcat脆弱性マトリックス
- Apache:Fixed in Apache Tomcat 8.0.32
- Apache:Fixed in Apache Tomcat 8.0.30
- Apache:Fixed in Apache Tomcat 8.0.27
- Apache:Fixed in Apache Tomcat 7.0.68
- Apache:Fixed in Apache Tomcat 7.0.67
- Apache:Fixed in Apache Tomcat 7.0.65
- Apache:Fixed in Apache Tomcat 6.0.45
