独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月27日、Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Apache Tomcat 10.1.0-M1から10.1.0-M8までのバージョン
Apache Tomcat 10.0.0-M5から10.0.14までのバージョン
Apache Tomcat 9.0.35から9.0.56までのバージョン
Apache Tomcat 8.5.55から8.5.73までのバージョン
The Apache Software Foundationから、Apache TomcatのTime of check to time of useによる競合状態の脆弱性を修正したアップデートが公開されている。本脆弱性はFileStoreを利用し、セッションを永続化する構成にしている場合のみ影響を受ける。
想定される影響としては、ローカルの攻撃者にTomcatプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。
JVNでは開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。