Apache Software Foundationは11月18日、Apache Tomcatに複数の脆弱性が存在する、と発表した。またJPCERTとIPA(情報処理推進機構)が共同運営するJVN(Japan Vulnerability Notes)も影響の大きさを踏まえて、日本語で解説し緊急対応を促している。
3つのCVE識別番号があり、次のような脆弱性が指摘されている。
CVE-2024-52316
Apache TomcatがカスタムのJakarta Authentication(旧JASPIC)ServerAuthContextコンポーネントを使用するように設定されている場合、認証プロセス中に例外が発生しても、認証が失敗しないことがある。このため攻撃者は認証プロセスをバイパスする恐れがある。
影響を受けるバージョンは次のとおり。
・Apache Tomcat 11.0.0-M1~11.0.0-M26
・Apache Tomcat 10.1.0-M1~10.1.30まで
・Apache Tomcat 9.0.0-M1~9.0.95まで
CVSS 基本スコア:9.8(緊急)
CVE-2024-52317
HTTP/2リクエストで使用されるリクエストとレスポンスの不正なリサイクルは、ユーザー間でリクエストとレスポンスが混在する原因となる可能性がある。
影響を受けるバージョンは次のとおり。
・Apache Tomcat 11.0.0-M23~11.0.0-M26まで
・Apache Tomcat 10.1.27~10.1.30まで
・Apache Tomcat 9.0.92~9.0.95まで
CVSS 基本スコア:6.5(警告)
CVE-2024-52318
改善策69333 [0] の修正により、プールされたJSPタグが使用後に解放されなくなり、一部のタグの出力が期待通りにエスケープされなくなる可能性がある。このエスケープされていない出力は、XSS(クロスサイト・スクリプティング)攻撃を受ける恐れがある。
影響を受けるバージョンは次のとおり。
・Apache Tomcat 11.0.0
・Apache Tomcat 10.1.31
・Apache Tomcat 9.0.96
CVSS 基本スコア:8.1(重要)
対処法
CVE-2024-52316、CVE-2024-52317の影響を受ける各バージョンは、以下の最新版へアップデートすることで対処できる。
・Apache Tomcat 11.0.0
・Apache Tomcat 10.1.31
・Apache Tomcat 9.0.96
CVE-2024-52318の影響を受ける各バージョンは、以下の最新版へアップデートすることで対処できる。
・Apache Tomcat 11.0.1
・Apache Tomcat 10.1.33
・Apache Tomcat 9.0.97
◎Apache Software Foundationブログ
・CVE-2024-52316
・CVE-2024-52317
・CVE-2024-52318
◎脆弱性情報
・Apache Tomcat 11
・Apache Tomcat 10
・Apache Tomcat 9
[i Magazine・IS magazine]
