tomcatのセキュリティアップデート

アップデートID:	RHSA-2008:0042-4
タイプ:	Security Advisory
重大性:	中/Moderate
発行日:	2008年3月11日
最終更新日:	2008年3月11日
影響のある製品:	RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client)
OVAL:	https://rhn.redhat.com/errata/RHSA-2008-0042.html
CVEs (cve.mitre.org):	CVE-2007-5342 CVE-2007-5461

詳細

複数のセキュリティ問題とバグを修正したtomcatのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

Tomcatは、Java ServletおよびJavaServer Pagesテクノロジ用のサーブレットコンテナです。

ディレクトリ遷移（directory traversal）の脆弱性が、Apache TomcatのWebdavサーブレットに存在しました。構成によってはローカルのtomcatプロセスがアクセスできるファイルを、認証を受けたリモートユーザが読める可能性がありました。(CVE-2007-5461)

JULI ロギングコンポーネントのデフォルトセキュリティポリシーでは、ファイルへのアクセス制限がなされていません。この問題を利用して、信頼できないWebアプリケーションがtomcatプロセスを介して任意のファイルの読み書きができる可能性がありました。(CVE-2007-5342)

Tomcatのユーザは、これらの問題を解決するバックポートパッチが含まれた上記エラータパッケージにアップグレードしてください。

解決法

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)

IA-32:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`799dc71cccf9de039181fe25e89aee37`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`d5a79d45bc2d690dc8bf341ca2ace9bf`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`9853b777d90f523d8e844fa9c693c1e3`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`e9ac520a9bb0a0ab3214bea24026166f`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`dedd115e17267d5b9469d5c5b927520a`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`7c41b1caa20a561d122ba73cb1eceee8`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`ebba559c5d54f6a93f2f48581b66e27d`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`48637f23981d08c041276b9cb1e2468b`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`58028d369b781638a42299e7d302e041`

x86_64:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`bd43f1ea68d78d724870f20655c52d58`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`5ec55cef2b6b4e69522ec2848e2e25df`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`47f04dc906241801567e729bceccc41d`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`25f430fcc964129e7da839e8e7a3695b`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`59b0a9818b0d8e24088941cdf1493bc6`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`ef4f54b5a608497bd29b0d4215268465`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`a121c3222daea7adf3b193a1fe24c834`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`1e24a7199f101e895d355d7b329e51bf`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`8b7094adfa9f9c460b821249b28bed4d`

Red Hat Enterprise Linux (v. 5 server)

SRPMS:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.src.rpm	`a18c459f33be81cf378ce8afadfef54d`

IA-32:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`799dc71cccf9de039181fe25e89aee37`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`d5a79d45bc2d690dc8bf341ca2ace9bf`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`9853b777d90f523d8e844fa9c693c1e3`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`e9ac520a9bb0a0ab3214bea24026166f`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`dedd115e17267d5b9469d5c5b927520a`
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`d87b716ead3a9bbfab3f2d41757fdfa2`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`7c41b1caa20a561d122ba73cb1eceee8`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`ebba559c5d54f6a93f2f48581b66e27d`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`63d242bda5bbfd6830cf8d5ade9b5e43`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`48637f23981d08c041276b9cb1e2468b`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`58028d369b781638a42299e7d302e041`

IA-64:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`45ac8c47384c4c42d3cacc263db6056f`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`2f36d81acf4154da402d6133adea5278`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`744feefda6964e7cb7df3cd2cb00ca8c`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`6a195488bfb91d6f2a86c2e996f642b8`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`d6f4fb5db53d08457c27b57603d2dc5d`
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`bed068ca3bfbc372600a31148ec3151e`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`2c0d3a970c22e9ce3aa09a4f444f5335`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`c2d9c624a4b5164ee9d7420d67ed68db`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`7f97db19596e6e65c7c6798c74808ae0`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`7eaadb4de5a36c1a2bc3f59d8356bd03`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.ia64.rpm	`e01ed45ee9ec2860f08a1bdf466fdbb6`

PPC:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`617bda73dcc02bef76f31f3a9348bf62`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`64b8fb64ebc4e8247da3aa77946a7e48`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`f3339384ec819156b321f991bdbb67d6`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`dce52054b04354aff7d71cec3cd9dced`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`15080c77a0f6d61efa4bce6f37fa8159`
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`1e923412f29a4338fc4e71bc2e2a8a14`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`08915f7a6a524443c68fc281cac38ea0`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`a70432f5274ce4a65f4fa17c5433eb56`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`6328c9fe36f4e226f1b35ce125618941`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`fdf3263ea003a8efb374f2f0712b9edc`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.ppc.rpm	`ce5c8f762cf52e38c6e2f60c154b23b9`

s390x:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`eca2b2cbd5d222a9361861027bb5cd48`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`6adcabe68e406901918a521db6bf1a96`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`6643eddc53e6305dc917d13a782aa821`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`df9a569d3afe7f5b2e95d675b37d0312`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`30a0f7189cebd08f4190456b378a60d4`
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`07cf75ac1ee5799c024e2d39f7594f66`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`66d0f8ea9e74eb5a9b12d2eb1e085772`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`fa5dcee54ff60bfb5cc8d63d765dfa9a`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`6ce04a449b18cdfcf595bb4bae53ae82`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`b934f7aeb24f2650414a23b0e49697ec`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.s390x.rpm	`08f153ce2fdd209109154bdadbdde816`

x86_64:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`bd43f1ea68d78d724870f20655c52d58`
tomcat5-admin-webapps-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`5ec55cef2b6b4e69522ec2848e2e25df`
tomcat5-common-lib-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`47f04dc906241801567e729bceccc41d`
tomcat5-jasper-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`25f430fcc964129e7da839e8e7a3695b`
tomcat5-jasper-javadoc-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`59b0a9818b0d8e24088941cdf1493bc6`
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`edd61e104cf0d8be7b2e090524a91c69`
tomcat5-jsp-2.0-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`ef4f54b5a608497bd29b0d4215268465`
tomcat5-server-lib-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`a121c3222daea7adf3b193a1fe24c834`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`a6fe811409dec5d8b4c6c78122ab910d`
tomcat5-servlet-2.4-api-javadoc-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`1e24a7199f101e895d355d7b329e51bf`
tomcat5-webapps-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`8b7094adfa9f9c460b821249b28bed4d`

Red Hat Enterprise Linux Desktop (v. 5 client)

SRPMS:
tomcat5-5.5.23-0jpp.3.0.3.el5_1.src.rpm	`a18c459f33be81cf378ce8afadfef54d`

IA-32:
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`d87b716ead3a9bbfab3f2d41757fdfa2`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.i386.rpm	`63d242bda5bbfd6830cf8d5ade9b5e43`

x86_64:
tomcat5-jsp-2.0-api-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`edd61e104cf0d8be7b2e090524a91c69`
tomcat5-servlet-2.4-api-5.5.23-0jpp.3.0.3.el5_1.x86_64.rpm	`a6fe811409dec5d8b4c6c78122ab910d`

(The unlinked packages above are only available from the Red Hat Network)

バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

333791 - CVE-2007-5461 Absolute path traversal Apache Tomcat WEBDAV
427216 - CVE-2007-5342 Apache Tomcat's default security policy is too open

参照

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5342
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5461
http://www.redhat.com/security/updates/classification/#moderate

キーワード

Security

ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/

メインリンク:

Links for this section:

tomcatのセキュリティアップデート

RHSA-2008:0042-4

詳細

解決法

アップデートパッケージ

バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

参照

キーワード