このlibtcnative-1-0のバージョン1.1.34への更新では、次の問題を修正します：

CVE-2017-15698：127バイトを超えるフィールドの不適切な処理を修正しました。この処理により、無効なクライアント証明書が受け入れられる可能性がありました（bsc#1078679）。

CVE-2018-8019：OCSPレスポンダーを使用している際、無効な応答を適切に処理しませんでした。これにより、失効したクライアント証明書が不適切に識別されることが可能でした。このため、相互TLSを使用する際に、ユーザーが失効した証明書で認証することが可能でした（bsc#1103348）。

CVE-2018-8020：OCSP事前生成応答が正しくチェックされませんでした。
失効したクライアント証明書が適切に識別されない可能性がありました。これによりユーザーが失効した証明書を使用して、相互TLSを必要とする接続に対して認証する可能性がありました（bsc#1103347）。

変更に関する完全なリストについては、http://tomcat.apache.org/native-1.1-doc/miscellaneous/changelog.htmlを参照してください

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

以下のためのセキュリティ修正 CVE-2017-15698

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Jonas Klenpel氏は、Apache Portable Runtime（APR）ライブラリのネットワーク接続（ソケット）実装および乱数発生器にTomcatアクセスを付与するライブラリであるtomcat-nativeが、クライアント証明書のAIA-Extensionフィールドを解析する際に、127バイトより長いフィールドを適切に処理しないことを報告しました。OCSPチェックが使用される場合、拒否されるべきクライアント証明書が承認される可能性があります。

クライアント証明書を誤って処理すると、OCSPチェックバイパスが可能になります：

クライアント証明書のAIA-Extensionフィールドを解析するとき、Apache Tomcat Native Connector 1.2.0〜1.2.14および1.1.23〜1.1.34は、127バイトより長いフィールドを正しく処理しませんでした。解析エラーの結果、OCSPチェックがスキップされていました。したがって、 (OCSPチェックが行われていれば) 拒否されるべきクライアント証明書が、受理される可能性がありました。OCSP チェックを使用しないユーザーは、この脆弱性の影響を受けません。(CVE-2017-15698)

Jonas Klempel氏は、クライアント証明書のAIA-Extensionフィールドを解析するとき、Apache Tomcat Nativeが127バイトより長いフィールドを正しく処理しないことを発見しました。解析エラーの結果、OCSPチェックがスキップされていました。したがって、（OCSPチェックが行われていれば）拒否されるべきクライアント証明書が、受理される可能性がありました。OCSPチェックを使用しないユーザーは、この脆弱性の影響を受けません。

Debian 7「Wheezy」では、これらの問題はバージョン1.1.24-1+deb7u1で修正されました。

お使いのtomcat-nativeパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

更新プログラムが、RHEL 6のRed Hat JBoss Web Server 3.1およびRHEL 7のRed Hat JBoss Web Server 3.1で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Web Serverは、Java Webアプリケーションをホスティングするための完全に統合され認定されたコンポーネントのセットです。これは、Apache HTTP Server、Apache Tomcatサーブレットコンテナ、Apache Tomcatコネクタ（mod_jk）、JBoss HTTPコネクタ（mod_cluster）、Hibernate、Tomcat Nativeライブラリで構成されています。Red Hat JBoss Web Server 3.1 Service Pack 2のこのリリースはRed Hat JBoss Web Server 3.1の置き換えとして機能し、「参照」でリンクされているリリースノートにドキュメント化されているバグ修正が含まれています。セキュリティ修正プログラム：* apr：apr_time_exp *()関数の領域外配列デリファレンス（CVE-2017-12613）* tomcat：JSPアップロードを介してリモートでコードが実行される（CVE-2017-12615）* tomcat：VirtualDirContext使用時の情報漏えい（CVE-2017-12616）* tomcat：リモートのコード実行によるCVE-2017-12615のバイパス（CVE-2017-12617）* tomcat-native：クライアント証明書の誤った処理によるOCSPチェックバイパス（CVE-2017-15698）* tomcat：セキュリティ制約内の空の文字列URLの誤った処理によるリソースの意図しない公開の可能性（CVE-2018-1304）* tomcat：セキュリティ制約の適用が遅れたことによる認証されていないユーザーへのリソース公開の可能性（CVE-2018-1305）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
123971	SUSE SLES11セキュリティ更新プログラム：libtcnative-1-0 (SUSE-SU-2019:14014-1)	Nessus	SuSE Local Security Checks	2019/4/10	2022/1/26	high
106730	Fedora 26：tomcat-native（2018-318b5d74bd）	Nessus	Fedora Local Security Checks	2018/2/12	2021/1/6	medium
106876	DebianDSA-4118-1：tomcat-native - セキュリティ更新	Nessus	Debian Local Security Checks	2018/2/20	2018/11/13	medium
107236	Amazon Linux AMI：tomcat-native (ALAS-2018-965)	Nessus	Amazon Linux Local Security Checks	2018/3/9	2018/4/18	medium
106724	Debian DLA-1276-1: tomcat-nativeセキュリティ更新	Nessus	Debian Local Security Checks	2018/2/12	2021/1/11	medium
106731	Fedora 27：tomcat-native（2018-7b1517bc6e）	Nessus	Fedora Local Security Checks	2018/2/12	2021/1/6	medium
107208	RHEL 6/7：Red Hat JBoss Web Server 3.1.0 Service Pack 2（RHSA-2018:0466）	Nessus	Red Hat Local Security Checks	2018/3/8	2023/4/25	high

検出

プラグインの検索

high

medium

medium

medium

medium

medium

high