ご留意ください。ごく稀な状況を除き、個々の脆弱性に対するバイナリパッチは提供されません。特定の脆弱性に対するバイナリ修正を入手するには、その脆弱性が修正されているApache Tomcat®バージョンにアップグレードする必要があります。
通常、コミットへの参照の形で提供されるソースパッチは、脆弱性のアナウンス、および/またはこれらのページに記載されている脆弱性の詳細で提供される場合があります。これらのソースパッチは、アップグレードではなく、そのセキュリティパッチのみでTomcatのローカルバージョンを構築したいユーザーによって使用される場合があります。
現在サポートされているApache Tomcatのバージョンで修正されたセキュリティ問題のリストは、以下で参照できます。
サポート終了(End-of-Life)に達し、アーカイブからダウンロード可能なApache Tomcatのバージョンで修正されたセキュリティ問題のリストも、以下で参照できます。
ASFは、Tomcatに対するセキュリティ問題およびサービス拒否攻撃の排除に非常に積極的に取り組んでいます。
私たちは、そのような問題を公開フォーラムで開示する前に、まずプライベートセキュリティメーリングリストに報告することを強く推奨します。
セキュリティメーリングリストは、Tomcatにおける未公開のセキュリティ脆弱性を報告し、そのような脆弱性を修正するプロセスを管理するためにのみ使用されるべきであることにご留意ください。このアドレスでは、通常のバグ報告、無料のコンサルティング、その他の問い合わせを受け付けることはできません。Tomcatのソースコードにおける未公開のセキュリティ問題に関連しない、このアドレスに送信されたすべてのメールは無視されます。 プライベートセキュリティメーリングアドレスは次のとおりです: security@tomcat.apache.org
Tomcatのセキュリティモデルは、TomcatセキュリティチームがTomcatの有効な脆弱性報告として何を受け入れ、何を受け入れないかを記述しています。
すべてのネットワークサーバーはサービス拒否攻撃の対象となることに注意してください。また、一般的な問題(クライアントが大量のデータをサーバーにストリーミングしたり、同じURLを繰り返しリクエストしたりするなど)に対する魔法のような回避策を約束することはできません。一般的に、私たちの哲学は、入力のサイズに対して非線形な関係でサーバーがリソースを消費するような攻撃を避けることです。
に関する質問
- Tomcatを安全に設定する方法
- 特定のアプリケーションに脆弱性が適用されるかどうか
- 公開された脆弱性に関する詳細情報の入手
- パッチおよび/または新しいリリースの入手可能性
は、ユーザーメーリングリストにお問い合わせください。購読方法の詳細については、メーリングリストのページをご覧ください。
未公開のセキュリティ脆弱性ではないバグを報告する必要がある場合は、バグ報告ページをご利用ください。
報告された脆弱性がどのように処理されるかに関心がある場合は、そのプロセスがASF全体のページ[1]および[2]に文書化されています。
