[upki-fed:90] 【注意喚起】Apache Tomcatの脆弱性について

61 views

Skip to first unread message

学認事務局

unread,

Dec 23, 2024, 9:44:49 PM12/23/24

to idp-c...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Apache Tomcatプロジェクトより、脆弱性(CVE-2024-52316, CVE-2024-52317,
CVE-2024-52318, CVE-2024-50379, CVE-2024-54677,
CVE-2024-56337)に関するアナウンスが公開されています。

※ 過去の技術ガイドでTomcatを使用していましたので情報提供しておりますが、Apache
Tomcatの脆弱性アナウンスは今回で最後とし、2025年以降は行いません。
学認ではShibboleth IdP V5の構築にはJettyの使用をお勧めしております (IdP V4は2024/9/1にEOL)。
事情がありTomcatを使用している場合も順次 Jettyへの切り替えをご検討ください。

本脆弱性の対象となるバージョンは次の通りです。該当するバージョンをお使いの場合はご注意ください。
※ 学認技術ガイドで過去に言及していたバージョン9系のみ記述しております。

CVE-2024-52316
- Apache Tomcat 9.0.0 から 9.0.95 まで
CVE-2024-52317
- Apache Tomcat 9.0.92 から 9.0.95 まで
CVE-2024-52318
- Apache Tomcat 9.0.96
CVE-2024-50379, CVE-2024-54677, CVE-2024-56337
- Apache Tomcat 9.0.0 から 9.0.97 まで

以下のサイトなどで情報をご確認いただき、対策されたバージョンが公開され次第、すみやかにアップデートを実施していただくことをお勧め致します。

(Apache Tomcat)
<https://lists.apache.org/thread/kg1cpwys6s4px9yk6kzp4405wolygqkz>
<https://lists.apache.org/thread/xp7ojhmzg6k5c4gxfg7456hszzsfjm58>
<https://lists.apache.org/thread/dvky1vcrgvyx7dmt61hr6wchz8x3qbps>
<https://lists.apache.org/thread/pn93m3021hkjkm4fwg6vxh8msvlrgorr>
<https://lists.apache.org/thread/kb1q7f73k8c4qhykqgr7lzky4x7to7ro>
<https://lists.apache.org/thread/2bjnh3p78b89n5hw539hh31sr7tt7m22>
<https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.96>
<https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.97>
<https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.98>

(Red Hat CVE Database)
<https://access.redhat.com/security/cve/cve-2024-52316>
<https://access.redhat.com/security/cve/cve-2024-52317>
<https://access.redhat.com/security/cve/cve-2024-52318>
<https://access.redhat.com/security/cve/cve-2024-50379>
<https://access.redhat.com/security/cve/cve-2024-54677>
<https://access.redhat.com/security/cve/cve-2024-56337>

===========================================================
国立情報学研究所　学術基盤課　認証基盤・クラウド推進チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===========================================================

--

Reply all

Reply to author

Forward

0 new messages