「Apache Tomcat」に脆弱性、危険度は“Important”、JPCERT/CCでも注意喚起

　Apache Software Foundationは19日、2件の脆弱性を修正した「Apache Tomcat」の最新バージョン「7.0.81」を公開した。

　脆弱性「CVE-2017-12615」は、細工したリクエストを受けることで、リモートから任意のコードが実行される可能性があるもの。readonlyパラメータを「false」に設定した上で、HTTP PUTリクエストを受け付け可能としている場合にのみ影響を受ける。対象となるのは、Windows版のApache Tomcatのバージョン「7.0.0」～「7.0.79」。

　脆弱性「CVE-2017-12616」は、細工したリクエストを受けることで、セキュリティ制限がバイパスされ、VirtualDirContextを使用したリソース配下のJSPソースコードが閲覧される可能性があるもの。VirtualDirContextを利用している場合にのみ影響を受ける。対象となるバージョンは「7.0.0」～「7.0.80」。

　Apache Software Foundationでは、いずれの脆弱性の危険度も“Important”とレーティングしている。

　なお、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）でも、この脆弱性について注意喚起を出している。