Tomcat脆弱性の対応(CVE-2014-0230)

わりとスコアが高めのTomcatの脆弱性(CVE-2014-0230)が出ました。

http://secf.keyman.or.jp/S0054817/

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0230

RedHat的には反応薄いですけどね、

https://access.redhat.com/security/cve/CVE-2014-0230

影響範囲は極めて広く、

  • Apache Tomcat 6.0.44 未満
  • Apache Tomcat 8.0.9 未満
  • Apache Tomcat 7.0.55 未満

のようです。

対応方法としてはアップデートになるわけですが、

  • Tomcatの公式サイトから使ってた場合

最新バージョンを落として適応

  • AmazonLinuxのRPMを使っていた場合
yum update tomcat7 とか
  • epelリポジトリを使っいていた場合

最新バージョンのRPMがいないので現状Tomcat公式から落としてきて適応するしかない

となり、CentOSとかでyumでtomcat使っていた人は結構メンドイことに・・・・