Apache Tomcat に関する脆弱性の影響について (CVE-2017-12615, CVE-2017-12616, CVE-2017-12617)

2017年9月19日に Apache Software Foundation から公開された Apache Tomcat に関する脆弱性 (CVE-2017-12615、CVE-2017-12616 および CVE-2017-12617) の、BOM 6.0 および BOM 7.0 (※)への影響は以下の通りです。
※ Apache Tomcat は上記製品の BOM 集中監視コンソールで使用しています。

[CVE-2017-12615, CVE-2017-12617]

• 脆弱性の内容
  Windows で利用している Apache Tomcat において、readonly パラメータを “”false”” に設定し HTTP PUT リクエストを受け付け可能としている場合に、細工したリクエストを受けることで遠隔から任意のコードが実行される可能性がある。
• 影響
  対象製品において readonly パラメータはデフォルト値の “”true”” に設定されているため、本脆弱性の影響はありません。
• 参考情報
  Apache Tomcat 7 – Default Servlet Reference (Apache Software Foundation)
  https://tomcat.apache.org/tomcat-7.0-doc/default-servlet.html#change
  ※ “What can I change?”項の表、”readonly”の行を参照ください。

[CVE-2017-12616]

• 脆弱性の内容
  VirtualDirContext を利用している場合に、細工したリクエストを受けることでセキュリティ制限がバイパスされ、VirtualDirContext を使用したリソース配下の JSP ソースコードを閲覧される可能性がある。
• 影響
  対象製品においては VirtualDirContext を利用していないため、本脆弱性の影響はありません。