[2023/03/03] Apache Tomcat, Apache Commons FileUpload の脆弱性 (CVE-2023-24998,CVE-2023-28709) に関する LDAP Manager への影響について
掲載日 | Mar 3, 2023 |
|---|---|
最終更新日 | May 31, 2023 |
2023年2月21日に公開された「Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性」につきまして、LDAP Manager に関する調査をおこないましたので、ここにご報告させていただきます。
影響の有無
LDAP Manager の各バージョン( 6.8 ~ 7.0 )で提供されている Web アプリケーションは、「 CVE-2023-24998 」で報告された脆弱性の影響を受ける可能性がございます。
影響バージョン
回避方法
Apache Tomcat の脆弱性について
2023.05.31追記
Apache Tomcat では CVE-2023-24998 の対応が不十分として、「CVE-2023-28709」が報告されました。回避方法として、Apache Software Foundation よりすでに提供されている、以下のバージョン以降の Tomcat 適用をご検討ください。
Apache Tomcat 9.0.74 およびそれ以降のバージョン
Apache Tomcat 8.5.88 およびそれ以降のバージョン
本脆弱性の対応として、Apache Software Foundation より、修正済みの Tomcat がすでに提供されています。
以下のバージョン以降の Tomcat 適用をご検討ください。
Apache Tomcat 9.0.71 およびそれ以降のバージョン
Apache Tomcat 8.5.85 およびそれ以降のバージョン
Apache Commons FileUpload の脆弱性について
次項でご案内する修正版モジュールに置き換えていただく必要があります。
モジュールのご提供について
以下 Web アプリケーションで Apache Commons FileUpload の脆弱性に対応した修正版モジュールを、 2023年4月3日(月)よりご提供いたします。
アグリゲータレシーバ
管理者ポータル
IDワークフロー
修正版モジュールをご希望のお客様は、LDAP Manager サポート・センターまでご連絡ください。