09/23/2024にApache Tomcat の脆弱性(Important: CVE-2024-38286)とTomcatJK Connector(mod_jk)の脆弱性(Moderate: CVE-2024-46544)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- Apache Tomcat の脆弱性(Important: CVE-2024-34750)
- Apache Tomcat の脆弱性(Important: CVE-2024-23672, CVE-2024-24549)
- Apache Tomcat の脆弱性(Important: CVE-2024-21733)
- Apache Tomcat の脆弱性(Important: CVE-2023-46589)
- Apache Tomcat の脆弱性(Important: CVE-2023-45648, CVE-2023-44487, CVE-2023-42795)
CVSS/プライオリティ
- CVE-2024-38286
- 影響するバージョン
- 11.0.0-M1 to 11.0.0-M20, 10.1.0-M1 to 10.1.24, 9.0.0-M1 to 9.0.89
- 一時情報源
- Priority
- Community: Important
- CVSS Vector
- 未公開
- 影響するバージョン
- CVE-2024-46544
- 影響するバージョン
- JK 1.2.9-1.2.49
- 一時情報源
- Priority
- Community: Important
- CVSS Vector
- 未公開
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38286
- DoSの脆弱性
- 任意のプラットフォーム上のTomcatは一定の設定で、攻撃者のTLSハンドシェイクプロセスの乱用によりOutOfMemoryErrorを引き起こされる可能性があります。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-46544
- ローカルユーザが設定を確認・変更できる脆弱性
- Tomcatコネクタのデフォルト権限設定が間違っており、ローカルユーザがmod_jkの設定を含んでいる共有メモリを確認・変更出来るようになっていました。これにより情報の漏洩やDoSを引き起こされる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
