「Apache Tomcat」に、エラーページの削除や上書きが行われる脆弱性(JVN) | ScanNetSecurity
2021.12.09(木)

「Apache Tomcat」に、エラーページの削除や上書きが行われる脆弱性(JVN)

IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月7日、「Apache Tomcat」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。これはThe Apache Software FoundationがApache Tomcat向けのアップデートを公開したことを受けたもの。

影響を受けるバージョンは次の通り。
・Apache Tomcat 9.0.0.M1 から 9.0.0.M20 まで
・Apache Tomcat 8.5.0 から 8.5.14 まで
・Apache Tomcat 8.0.0.RC1 から 8.0.43 まで
・Apache Tomcat 7.0.0 から 7.0.77 まで

これらのバージョンには、エラーページ処理に関するセキュリティ制限回避の脆弱性(CVE-2017-5664)が存在する。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。この脆弱性が悪用されると、細工されたHTTPリクエストを処理することで、エラーページの削除や上書きが行われる可能性がある。最新のバージョンは「Apache Tomcat 9.0.0.M21」「Apache Tomcat 8.5.15」「Apache Tomcat 8.0.44」「Apache Tomcat 7.0.78」となっている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×