Published: 2025-03-10 08:00
Apache Tomcat に複数の脆弱性、対策を強化したバージョンをリリース
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月7日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Apache Tomcat 11.0.0-M1から11.0.1まで
Apache Tomcat 10.1.0-M1から10.1.33まで
Apache Tomcat 9.0.0.M1から9.0.97まで
The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
なお、特定の条件下にてCVE-2024-50379の脆弱性の回避に追加の構成が必要となるため、CVE-2024-56337が採番された旨をJVNでは2024年12月24日に追加で公表している。
・ケースセンシティブでないファイルシステムで、読み取り専用の初期化パラメーターreadonlyにfalseを設定し、初期設定のサーブレットが書き込み可能な場合、同一のファイルのロード中に同時に読み取りとアップロードを行うと、Tomcatのケースセンシティビティのチェックを回避する問題(CVE-2024-50379、CVE-2024-56337)
□アップロードされたファイルがJSPとして取り扱われリモートでコードを実行される
・初期設定でローカルホストのみアクセス可能なexamples Webアプリケーションで、アップロードされるデータに制限を設けていない問題(CVE-2024-54677)
□サービス運用妨害(DoS)攻撃を受ける
JVNでは、開発者が提供する情報をもとに下記のバージョンへアップデートするよう呼びかけている。
Apache Tomcat 11.0.2およびそれ以降
Apache Tomcat 10.1.34およびそれ以降
Apache Tomcat 9.0.98およびそれ以降
| # | 言葉 | 意味 |
|---|---|---|
| 4 | および | および (及び) : and; as well as |
| 3 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 3 | それ | それ (其れ) : 1. that; it 2. then; that point (in time); that time |
| 3 | 以降 | いこう (以降) : on and after; as from; hereafter; thereafter; since |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 下記 | かき (下記) : the following |
| 2 | 回避 | かいひ (回避) : evasion; avoidance |
| 2 | 追加 | ついか (追加) : addition; supplement; appending; appendix |
| 2 | 読み取る | よみとる (読み取る) : 1. to read and understand; to take in 2. to sense from external cues; to read (someone's) mind |
| 2 | 初期設定 | しょきせってい (初期設定) : 1. default settings; initial settings; initial configuration 2. initialization; initialisation |
| 2 | 可能 | かのう (可能) : possible; potential; practicable; feasible |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 特定 | とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing |
| 1 | 条件 | じょうけん (条件) : condition; term; requirement; qualification; prerequisite |
| 1 | にて | で : 1. at; in 2. at; when |
| 1 | 構成 | こうせい (構成) : composition; construction; formation; makeup; structure; organization; organisation |
| 1 | 採番 | さいばん (採番) : data index; (unique) index number |
| 1 | 旨 | むね (旨) : 1. principle; aim; main purpose; central part; pillar 2. purport; gist; drift; meaning |
| 1 | 公表 | こうひょう (公表) : official announcement; proclamation |
| 1 | 専用 | せんよう (専用) : 1. (one's) exclusive use; private use; personal use 2. dedicated use; use for a particular purpose |
| 1 | 初期化 | しょきか (初期化) : 1. initialization; initialisation 2. formatting; resetting |
| 1 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 1 | 書き込み | かきこみ (書き込み) : 1. writing 2. entry (e.g. to a form) |
| 1 | 同一 | どういつ (同一) : 1. identical; same; one and the same; equal 2. fair; equal treatment; without discrimination |
| 1 | 同時 | どうじ (同時) : simultaneous; concurrent; same time; synchronous; together |
| 1 | 取り扱う | とりあつかう (取り扱う) : 1. to handle; to operate (a machine, etc.); to use 2. to deal with (an issue); to manage |
| 1 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 1 | のみ | のみ : only; nothing but |
| 1 | 制限 | せいげん (制限) : restriction; restraint; limitation; limit |
| 1 | 設ける | もうける (設ける) : 1. to prepare; to provide 2. to set up; to establish; to organize; to lay down (rules); to make (an excuse) |
| 1 | 運用 | うんよう (運用) : 1. making use of; application; practical use; effective management (e.g. of funds) 2. operation; handling; steering (esp. a boat) |
| 1 | 妨害 | ぼうがい (妨害) : disturbance; obstruction; hindrance; jamming; interference |
| 1 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |