Apache Tomcat に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月20日、Apache Tomcatにおける複数の脆弱性について発表した。影響を受けるシステムは以下の通り。

・CVE-2024-52316
Apache Tomcat 11.0.0-M1から11.0.0-M26まで
Apache Tomcat 10.1.0-M1から10.1.30まで
Apache Tomcat 9.0.0-M1から9.0.95まで

・CVE-2024-52317
Apache Tomcat 11.0.0-M23から11.0.0-M26まで
Apache Tomcat 10.1.27から10.1.30まで
Apache Tomcat 9.0.92から9.0.95まで

・CVE-2024-52318
Apache Tomcat 11.0.0
Apache Tomcat 10.1.31
Apache Tomcat 9.0.96

　The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・認証プロセス中に失敗を示すHTTPステータスを明示的に設定せずに例外をスローするようなカスタマイズをされたJakarta Authentication（旧称JASPIC）ServerAuthContextコンポーネントを使用するように設定している場合、認証プロセスをバイパスされる問題（CVE-2024-52316）
→認証が失敗せず、認証プロセスをバイパスされる

・HTTP/2リクエストで使用されるリクエストおよびレスポンスの不適切なリサイクルの問題（CVE-2024-52317）
→ユーザー間でHTTP/2リクエストとレスポンスが取り違えられる

・プールされたJSPタグが使用後に解放されず、一部のタグの出力がエスケープされなくなる問題（CVE-2024-52318）
→エスケープされないJSPタグの出力により、クロスサイトスクリプティング（XSS）を引き起こされる

　JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、下記のバージョンで修正されている。

・CVE-2024-52316、CVE-2024-52317
Apache Tomcat 11.0.0
Apache Tomcat 10.1.31
Apache Tomcat 9.0.96

・CVE-2024-52318
Apache Tomcat 11.0.1
Apache Tomcat 10.1.33
Apache Tomcat 9.0.97

元の記事を読む