[2023/03/03] Apache Tomcat, Apache Commons FileUpload の脆弱性 (CVE-2023-24998,CVE-2023-28709) に関する LDAP Manager への影響について

掲載日

 

最終更新日 



2023年2月21日に公開された「Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性」につきまして、LDAP Manager に関する調査をおこないましたので、ここにご報告させていただきます。



影響の有無

LDAP Manager の各バージョン( 6.8 ~ 7.0 )で提供されている Web アプリケーションは、「 CVE-2023-24998 」で報告された脆弱性の影響を受ける可能性がございます。





影響バージョン

ADアグリゲータ

管理者メンテナンス(Servlet)

操作ログオプション(Web)

利用者プロファイルメンテナンス

利用者プロファイルメンテナンス設定

SCIM API

アグリゲータレシーバ

管理者ポータル

IDワークフロー

影響は受けません

影響は受けません

影響は受けません

影響は受けません

影響は受けません

影響は受けません

全バージョン

全バージョン

全バージョン





回避方法

Apache Tomcat の脆弱性について

2023.05.31追記

Apache Tomcat では CVE-2023-24998 の対応が不十分として、「CVE-2023-28709」が報告されました。回避方法として、Apache Software Foundation よりすでに提供されている、以下のバージョン以降の Tomcat 適用をご検討ください。
  • Apache Tomcat 9.0.74 およびそれ以降のバージョン
  • Apache Tomcat 8.5.88 およびそれ以降のバージョン

本脆弱性の対応として、Apache Software Foundation より、修正済みの Tomcat がすでに提供されています。
以下のバージョン以降の Tomcat 適用をご検討ください。

  • Apache Tomcat 9.0.71 およびそれ以降のバージョン

  • Apache Tomcat 8.5.85 およびそれ以降のバージョン


Apache Commons FileUpload の脆弱性について

次項でご案内する修正版モジュールに置き換えていただく必要があります。





モジュールのご提供について

以下 Web アプリケーションで Apache Commons FileUpload の脆弱性に対応した修正版モジュールを、 2023年4月3日(月)よりご提供いたします。

  • アグリゲータレシーバ
  • 管理者ポータル
  • IDワークフロー

修正版モジュールをご希望のお客様は、LDAP Manager サポート・センターまでご連絡ください。