0001ノチラ ★2017/09/20(水) 22:05:38.60ID:CAP_USER
Apache Software Foundationは19日、2件の脆弱性を修正した「Apache Tomcat」の最新バージョン「7.0.81」を公開した。
脆弱性「CVE-2017-12615」は、細工したリクエストを受けることで、リモートから任意のコードが実行される可能性があるもの。readonlyパラメータを「false」に設定した上で、HTTP PUTリクエストを受け付け可能としている場合にのみ影響を受ける。対象となるのは、Windows版のApache Tomcatのバージョン「7.0.0」〜「7.0.79」。
脆弱性「CVE-2017-12616」は、細工したリクエストを受けることで、セキュリティ制限がバイパスされ、VirtualDirContextを使用したリソース配下のJSPソースコードが閲覧される可能性があるもの。VirtualDirContextを利用している場合にのみ影響を受ける。対象となるバージョンは「7.0.0」〜「7.0.80」。
Apache Software Foundationでは、いずれの脆弱性の危険度も“Important”とレーティングしている。
なお、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)でも、この脆弱性について注意喚起を出している。
http://internet.watch.impress.co.jp/docs/news/1081736.html 0002名刺は切らしておりまして2017/09/20(水) 22:11:55.89ID:j2Wld9SS
・readonlyパラメータを「false」に設定
・HTTP PUTリクエストを受け付け可能としている
これって、脆弱性じゃネェだろう
設定が「甘い」だけだよ
0006名刺は切らしておりまして2017/09/20(水) 22:17:37.99ID:hsH0oQKY
ヘリコプターと戦闘機がどうしたって?
0007名刺は切らしておりまして2017/09/20(水) 22:22:19.43ID:4Z0P4hgU
普通Windows版なんてローカルPCでの開発時に使うだけだろ。
0008名刺は切らしておりまして2017/09/20(水) 22:25:37.07ID:1nr2lQ/c
0009名刺は切らしておりまして2017/09/20(水) 22:25:57.89ID:qBvdxvDQ
IIJだから無問題だわ
0010名刺は切らしておりまして2017/09/20(水) 22:26:27.35ID:qLAWpmep
0011名刺は切らしておりまして2017/09/20(水) 22:26:28.97ID:qBvdxvDQ
あ、間違った
IIS
0012名刺は切らしておりまして2017/09/20(水) 22:29:23.31ID:i5UbriDS
外向けにWindowsサーバとApache使ってるような所は自業自得だろ。
Windowsなら公開ものはほとんどIISだろうし
大して影響なさそう
GroupSessionってグループウェア使ってるので
関係あるかな
またアップデートか めんどくさそう
0016名刺は切らしておりまして2017/09/20(水) 23:06:54.32ID:wV1tzJHf
>readonlyパラメータを「false」に設定した上で、HTTP PUTリクエストを
>受け付け可能としている場合にのみ影響を受ける
誰かエロい人、分かりやすいたとえを使って説明してくれ
0017名刺は切らしておりまして2017/09/20(水) 23:08:34.51ID:C3H+OVqu
また詳しくない顧客から、「この脆弱性は影響ありますか?」って聞かれるんだな。。
ウゼぇ。
0018名刺は切らしておりまして2017/09/20(水) 23:11:22.37ID:s8qf/xO2
Tomcatか懐かしいな
>>17
そういう顧客に限って自分達で運用してるセキュリティはザル運用なんだよな 0023名刺は切らしておりまして2017/09/21(木) 00:36:25.60ID:R78VeI3y
まぁ、こないだApache HTTP Serverでも割とでかいのあったし
脆弱性が見つかってその対応するのはしゃーないね
HTTPとTomcatの2連続で食らった人はご愁傷様だけど
>>22
Welcome to this crazy time ! 0026名刺は切らしておりまして2017/09/21(木) 02:20:24.97ID:cWm1mj7N
これってJava Servlet Engineのリファレンス実装だろ
ベンダーの製品にも同じ脆弱性って無いのか?
0027名刺は切らしておりまして2017/09/21(木) 02:42:40.29ID:5IFBBEx8
0028名刺は切らしておりまして2017/09/21(木) 02:43:57.62ID:5IFBBEx8
0029名刺は切らしておりまして2017/09/21(木) 03:05:44.93ID:Z9eIiyDN
>>22
雄猫っていう訳し方したアホな管理ツールがあったなー 0032名刺は切らしておりまして2017/09/21(木) 04:14:34.53ID:WgoLfTaO
>>34
ありきたりだが警察は事前には動かない。
今じゃどこの家庭もSECOMが当たり前の時代なんだから
襲われるのが嫌なら隣にボディーガードを付けとけばいいんだよ。
格安ボディガードのガードドッグなんか時給2500円で付いてくれるから相手が確実に来るときに付けとくだけでもかなりの抑止効果になるよ。 0034名刺は切らしておりまして2017/10/02(月) 21:11:35.28ID:7Gup4/Bh
0035名刺は切らしておりまして2017/10/03(火) 10:29:03.84ID:wIIVGysm
>>23
おっさん世代なら「ふられ気分でrock'n roll」だろ。 0037名刺は切らしておりまして2017/10/03(火) 10:47:47.55ID:S/u6bG+P
readonlyのデフォルトがtrueだから内容を読んで理解できない奴が作ったシステムはまず問題ないだろ
0038名刺は切らしておりまして2017/10/03(火) 10:54:48.71ID:yjL0sh04
☆ 私たち日本人の、日本国憲法を改正しましょう。総務省の、
『憲法改正国民投票法』、でググってみてください。
2017年10月22日(日)の衆議院選挙は、ぜひ投票に行きましょう。
平和は勝ち取るものです。お願い致します。☆☆