このドキュメントでは、マカフィーアプリケーションと比較してサステイナビエンジニアリングのサポートポジションについて説明します。
概要 このドキュメントでは、 ePO と Tomcat の脆弱性に関する懸念事項について説明します。 このレポートには、 Tomcat Security Advisory で参照されている CVE-2018-1304 および CVE-2018-1305 に関する質問が反映されています。
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.85.
国家の脆弱性データベースの詳細情報を確認してください:
https://web.nvd.nist.gov .
説明 CVE-2018-1304: コンテキストルートに正確にマップされる "" (空文字列 )の URL パターンは、セキュリティ制約定義の一部として使用された場合、正しく処理されず、制約が無視されます。 権限のないユーザーが、この条件で保護される Web アプリケーションリソースにアクセスすることは可能です。 空の文字列の URL パターンを持つセキュリティ制約のみが影響を受けます。
CVE-2018-1305: サーブレットの注釈によって定義されるセキュリティ制約は、サーブレットがロードされた後にのみ適用されました。 このように定義されたセキュリティ制約は、 URL パターンと以下の URL に適用されます。 サーブレットのロード順序に応じて、一部のセキュリティ制約が適用されない可能性があります。 アクセス権のないユーザーは、アクセスできないリソースにアクセスする可能性があります。
調査と結論 ePO エンジニアリングチームは、これらの脆弱性を調査し、 ePO に最小限の影響しか及ぼさず、リスクの低い問題であると判断しました。 我々の使用法に基づいて、これらの両方の CVE について決定された CVSS スコアは非常に低い -
2.6/2.3 (Base/Temporal score).
これらの問題の解決策は、次に利用可能な ePO パッチリリース (5.10) で予定されています。
免責事項 この声明に記載されている将来の製品リリース日は、一般的な製品の方向性を概説することを目的としており、購買決定を下す際には頼りにしてはなりません。
- 製品リリース日は情報提供のみを目的としており、いかなる契約にも組み込むことはできません。
- 製品のリリース日は、何らかの素材、コードまたは機能を提供するという確約でも誓約でも法的義務でもありません。
- 当社の製品について記載されている特徴や機能の開発、リリース、タイミングは弊社独自の裁量であり、いつでも変更または取り消すことができます。