ニュース

「Apache Tomcat」に複数の脆弱性、最新版への更新を

不正なリクエストの送信・認証、ロックアウト機能のバイパス、DoSなどにつながる可能性

「JVN」の脆弱性レポート(JVNVU#91880022)

 脆弱性対策情報ポータルサイト「JVN」は7月13日、「Apache Tomcat」に複数の脆弱性が存在することを明らかにした。不正なリクエストの送信、不正なパラメータ値を使用した認証、ロックアウト機能のバイパス、サービス運用妨害(DoS)などにつながる可能性がある。

 今回、「Tomcat」で指摘されている脆弱性は以下の3件。影響範囲は脆弱性によって異なる。

  • CVE-2021-33037:HTTPリクエストスマグリング
    ・Apache Tomcat 10.0.0-M1から10.0.6まで
    ・Apache Tomcat 9.0.0.M1から9.0.46まで
    ・Apache Tomcat 8.5.0から8.5.66まで
  • CVE-2021-30640:JNDI Realm認証不備
    ・Apache Tomcat 10.0.0-M1から10.0.5まで
    ・Apache Tomcat 9.0.0.M1から9.0.45まで
    ・Apache Tomcat 8.5.0から8.5.65まで
    ・Apache Tomcat 7.0.0から7.0.108まで
  • CVE-2021-30639:ノンブロッキングI/Oにおけるエラー処理不備
    ・Apache Tomcat 10.0.3から10.0.4まで
    ・Apache Tomcat 9.0.44
    ・Apache Tomcat 8.5.64

 Apacheはすでに対策版をリリース済み。「Apache Tomcat 7.0.109」、「Apache Tomcat 8.5.68」、「Apache Tomcat 9.0.48」、「Apache Tomcat 10.0.7」へのアップデートが必要だ。