Apache Tomcat にリモートコード実行の脆弱性

最終更新日: 2019/04/17

情報源

US-CERT Current Activity
Apache Releases Security Updates for Apache Tomcat
https://www.us-cert.gov/ncas/current-activity/2019/04/14/Apache-Releases-Security-Updates-Apache-Tomcat

概要

Apache Tomcat には、遠隔の第三者が任意のコードを実行可能な脆弱性があります。

対象となるバージョンは次のとおりです。

– Apache Tomcat 9.0.0.M1 から 9.0.17 まで
– Apache Tomcat 8.5.0 から 8.5.39 まで
– Apache Tomcat 7.0.0 から 7.0.93 まで

なお、本脆弱性は、Windows で利用している Apache Tomcat において、enableCmdLineArguments が有効になっている場合に影響を受けるとのことです。

この問題は、Apache Tomcat を The Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、The ApacheSoftware Foundation が提供する情報を参照してください。

関連文書 (英語)

The Apache Software Foundation

[SECURITY] CVE-2019-0232 Apache Tomcat Remote Code Execution on Windows
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3c13d878ec-5d49-c348-48d4-25a6c81b9605@apache.org%3e

The Apache Tomcat team

[ANN] Apache Tomcat 9.0.19 available
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3cd49d13f3-0787-1cb6-f98d-195eb31811f2@apache.org%3e

The Apache Tomcat team

[ANN] Apache Tomcat 8.5.40 available
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3cf10fd044-c708-1c63-1beb-13ce17f5a79a@apache.org%3e

The Apache Tomcat team

[ANN] Apache Tomcat 7.0.94 released
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201904.mbox/%3c81957d4a-d6a0-2276-fa6a-f1904a37b9de@apache.org%3e

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-17」
https://www.jpcert.or.jp/wr/2019/wr191501.html