テクニカルトピックス

　昨年12月にJVNからApache Tomcat の複数の脆弱性が公開されました。
　概要は以下の通りです。

• 情報漏えい - CVE-2019-12418

  Apache Tomcat が JMX Remote Lifecycle Listener で構成されている場合に、RMI レジストリの操作による中間者攻撃 (man-in-the-middle attack) が行われ、JMX インターフェースのアクセスに使用されるユーザ名とパスワードを取得される可能性があります。
  また開発者によると、本脆弱性をリモートから悪用可能な JRE の脆弱性、CVE-2019-2684 にも注意する必要があるとのことです。

• セッション固定攻撃 - CVE-2019-17563

  FORM 認証を使用する際に、セッション固定攻撃が可能な短い時間帯が存在します。

これに伴い、Swivelはアプライアンス アップデートの緊急リリースを行い、Tomcat 9.0.30にアップデートを行いました。
CMIメニューのオートアップデートからアップデートが可能です。
アップデート後のSwivel Applianceのバージョン情報は、「4.1.0.6082」となります。

Swivel Applianceのリリースノートは下記ページに記載しております。
https://kb.swivelsecure.com/w/index.php/Versions_FAQ

アップデートの手順概略は下記の通りです。

• CMI Main Menuから「Administration」→「Update Appliance」を選択
• 「Update Swivel Core Products」を実行
• 「Update System」を実行

※なお、アップデート前に必ずVMのスナップショットを取得し、不慮の事態が発生した場合にすぐに切り戻しが行えるようにして下さい。