FAMLog
Apache Tomcat 8.5.23が公開
October 03, 2017
Apache Tomcat 8.5.23が公開されています。
Apache Tomcat 8.5.23では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があるセキュリティ脆弱性(CVE-2017-12617)が修正されています。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.1 (beta)が公開されている状況です。
なお、2017年10月3日時点では、CVE-2017-12617を修正したApache Tomcat 7.0系列の新バージョンは公開されていない状態です。
[関連]Apache Tomcat における脆弱性に関する注意喚起(JPCERT コーディネーションセンター)、Apache Tomcat 7.0.81ではセキュリティ脆弱性が修正済み(FAMLog)、Apache Tomcat 8.0.47とApache Tomcat 7.0.82が公開(FAMLog)
(2017/10/04追記:CVE-2017-12617を修正したApache Tomcat 8.0.47とApache Tomcat 7.0.82が公開されていたため、関連記事を追加・更新しました。)