[upki-fed:60] 【注意喚起】Apache Tomcatの脆弱性について(2024/3/14付アドバイザリ)

[学認事務局]

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Apache Tomcatプロジェクトより、脆弱性(CVE-2024-23672, CVE-2024-24549)
に関するアナウンスが公開されています。
※ 過去の技術ガイドでTomcatを使用していましたので情報提供しております
が、Shibboleth IdP V4以降の構築にはJettyの使用をお勧めしております。
事情がありTomcatを使用している場合も順次Jettyへの切り替えをご検討
ください。
 
本脆弱性の対象となるバージョンは次の通りです。
該当するバージョンをお使いの場合はご注意ください。
 ※ 8.0.x等、EOLを過ぎたバージョンは記載していません。
 
CVE-2024-23672
 - Apache Tomcat 9.0.0-M1 から 9.0.85 まで
 - Apache Tomcat 8.5.0 から 8.5.98 まで

CVE-2024-24549
 - Apache Tomcat 9.0.0-M1 から 9.0.85 まで
 - Apache Tomcat 8.5.0 から 8.5.98 まで

以下のサイトなどで情報をご確認いただき、対策されたバージョンが公開され
次第、すみやかにアップデートを実施していただくことをお勧め致します。
 
(Apache Tomcat)
https://lists.apache.org/thread/cmpswfx6tj4s7x0nxxosvfqs11lvdx2f
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.86
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.99
 
(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2024-23672
https://access.redhat.com/security/cve/cve-2024-24549

===========================================================
国立情報学研究所　学術基盤課　認証基盤・クラウド推進チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===========================================================

--