平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apache Tomcatにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNVU#97014415
Apache Tomcat に対するアップデート
概要
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
影響を受けるシステム
・CVE-2021-25329 および CVE-2021-25122
- Apache Tomcat 10.0.0-M1 から 10.0.0 まで
- Apache Tomcat 9.0.0.M1 から 9.0.41 まで
- Apache Tomcat 8.5.0 から 8.5.61 までで
・CVE-2021-25329 のみ
- Apache Tomcat 7.0.0 から 7.0.107 まで
詳細情報
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
・信頼できないデータのデシリアライズ (CWE-502) – CVE-2021-25329
本脆弱性は CVE-2020-9484 への対応が不十分であったため、あらためて修正されたものです
・h2c 接続リクエストに対するレスポンス生成の不備 – CVE-2021-25122
想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。
・デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行される – CVE-2021-25329
・新たな h2c 接続リクエストに応答するとき、当該製品がリクエストのヘッダーおよびペイロードの一部を複製することに起因して、遠隔の第三者によって、他のユーザのリクエストに対する結果を参照される – CVE-2021-25122
対策方法
アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
- Apache Tomcat 10.0.2 およびそれ以降
- Apache Tomcat 9.0.43 およびそれ以降
- Apache Tomcat 8.5.63 およびそれ以降
- Apache Tomcat 7.0.108 およびそれ以降
参考情報
Japan Vulnerability Notes JVNVU#98086086
Apache Tomcat に安全でないデシリアライゼーションの問題
題
備考
最終更新日 2021.03.05
