インフラセキュリティの処方箋
第28回 2016年11月~Microsoft製品の脆弱性情報提供が変更に&Apache Tomcatの脆弱性
Microsoft,セキュリティ情報の提供を変更~今後はSecurity Updates Guideに
Microsoftからこの11月に,
Security Updates Guideとは何か
Security Updates Guide
- セキュリティ更新プログラムガイド
- https://
portal. msrc. microsoft. com/ ja-jp/ security-guidance
2016年11月の段階でPreviewが公開されています。
これまでセキュリティ情報に掲載されていた脆弱性情報は,
Security Updates Guideを経由した情報提供が開始されることで,
- CVE番号,
KB番号, 日付, 製品名でのフィルタリング機能 - RESTful API
今後,セキュリティアドバイザリはなくなり,Security Updates Guide一本に
Microsoft製品の脆弱性というと,
- Security Updates Guideで提供開始&従来のセキュリティアドバイザリ提供を2017年1月で終了
- https://
blogs. technet. microsoft. com/ jpsecurity/ 2016/ 11/ 09/ furthering-our-commitment-to-security-updates/
脆弱性情報を確認している人は,
2016年11月に出たApache Tomcatの脆弱性~他ベンダにより修正された脆弱性の確認漏れ?
2016年11月22日に,
- [SECURITY] CVE-2016-8735 Apache Tomcat Remote Code Execution
- [SECURITY] CVE-2016-6816 Apache Tomcat Information Disclosure
- [SECURITY] CVE-2016-6817 Apache Tomcat Denial of Service
- JVNVU#92250735 Apache Tomcat の複数の脆弱性に対するアップデート
今回の脆弱性で見るべきところ
今回の脆弱性はそれぞれ
- Apache Tomcat 9 vulnerabilities
- https://
tomcat. apache. org/ security-9. html
The JmxRemoteLifecycleListener was not updated to take account of Oracle's fix for CVE-2016-3427.
これは,
CVE-2016-3427の概要は,
- Oracle Critical Patch Update Advisory - April 2016
- http://
www. oracle. com/ technetwork/ security-advisory/ cpuapr2016v3-2985753. html
今回の脆弱性が残した教訓
最近のソフトウェアは,
コードの引用/
結論:何気なくコピペして使っているコードや自システムの構成には気をつけよう
何かのコードを書いていて,
日常的にソフトウェアを書いている人にとっては,
複数のソフトウェアを協調動作させているシステム等でも,
バックナンバー
インフラセキュリティの処方箋
- 第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること
- 第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
- 第42回 2018年1月~MeltdownとSpectre~現代的なCPUのしくみに根差した脆弱性 / 外部ネットワークを使うためのちょっとした注意
- 第41回 2017年12月~ROBOT:19年前から潜んでいたTLS実装の脆弱性
- 第40回 2017年11月~利用が容易なOffice脆弱性が発見された2017年11月~PoCも出ました
- 第39回 2017年10月~今月も脆弱性祭り~わかっちゃいますが尽きる気配はまったくありません
- 第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
- 第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
- 第36回 2017年7月~ウィルス付きメールにご用心~マクロ付き文書ファイルと脆弱性を突く文書ファイル
- 第35回 2017年6月~EOLなWindowsへの修正ファイル提供と,DLLプリロードの問題