■ 対応策
結論から言うと... * 最新版に更新する
=> 更新しておくに越したことはないと思うが、なかなか業務上の都合でできないこともあるので
Tomcat上で動いているシステムの全てに関わるかどうかは
脆弱性の詳細内容を確認して更新するかどうかを判断するのも一つの案かもしれない...
■ 2017/08/18、最近発見された脆弱性
https://jvn.jp/vu/JVNVU90211511/https://oss.sios.com/security/tomcat-security-vulnerabiltiy-20170411
* 情報漏えい (CVE-2017-5647) * 情報漏えい (CVE-2017-5648) * サービス運用妨害 (DoS) (CVE-2017-5650) * 情報漏えい (CVE-2017-5651)https://jvn.jp/vu/JVNVU95420726/
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-004051.html
* エラーページ処理に関するセキュリティ制限回避の脆弱性 (CVE-2017-5664)https://jvn.jp/vu/JVNVU91991349/index.html
https://oss.sios.com/security/tomcat-security-vulnerabiltiy-20170811
* キャッシュポイズニングの問題 (CVE-2017-7674) * HTTP/2 実装における認証回避の脆弱性 (CVE-2017-7675) => パストラバーサル攻撃キャッシュポイズニング
https://blogs.yahoo.co.jp/dk521123/35715583.html
パストラバーサル攻撃
https://blogs.yahoo.co.jp/dk521123/35715502.html
【追記】2017/10/06現在、最近発見された脆弱性
http://jvn.jp/vu/JVNVU99259676/index.html (CVE-2017-12615, CVE-2017-12617)http://jvn.jp/vu/JVNVU99259676/ (CVE-2017-12615, CVE-2017-12616, CVE-2017-12617)
* 詳細は以下の関連記事を参照のことhttps://blogs.yahoo.co.jp/dk521123/37161394.html
■ (自分用メモ) Tomcat更新する際の注意点
* デフォルト設定でTomcatを運用している場合は、Tomcatを入れ替えて モジュールをデプロイするだけでいいが、 例えば、以下の関連記事のような独自の設定やjar等を配置している場合は、 その設定やファイルも反映されなければならない 【例】 + context.xml + server.xml + catalina.properties + web.xml etchttps://blogs.yahoo.co.jp/dk521123/36723742.html
https://blogs.yahoo.co.jp/dk521123/36725545.html
