11/19/2024にApache Tomcat の脆弱性(Important: CVE-2024-52317, CVE-2024-52318, Low: CVE-2024-52316)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- Apache Tomcat の脆弱性(Important: CVE-2024-38286)とTomcatJK Connector(mod_jk)の脆弱性(Moderate: CVE-2024-46544)
- Apache Tomcat の脆弱性(Important: CVE-2024-34750)
- Apache Tomcat の脆弱性(Important: CVE-2024-23672, CVE-2024-24549)
- Apache Tomcat の脆弱性(Important: CVE-2024-21733)
- Apache Tomcat の脆弱性(Important: CVE-2023-46589)
- Apache Tomcat の脆弱性(Important: CVE-2023-45648, CVE-2023-44487, CVE-2023-42795)
- Apache Tomcat JK Connectorの脆弱性(CVE-2023-41081)
CVSS/プライオリティ
- CVE-2024-52317
- 影響するバージョン
- 11.0.0-M23 to 11.0.0-M26, 10.1.27 to 10.1.30, 9.0.92 to 9.0.95
- 一時情報源
- Priority
- Community: Important
- CVSS Vector
- 影響するバージョン
- CVE-2024-52318
- 影響するバージョン
- 11.0.0, 10.1.31, 9.0.96
- 一時情報源
- Priority
- Community: Important
- Red Hat: 5.4 Moderate
- CVSS Vector
- Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
- 影響するバージョン
- CVE-2024-52316
- 影響するバージョン
- 11.0.0-M1 to 11.0.0-M26, 10.1.0-M1 to 10.1.30, 9.0.0-M1 to 9.0.95
- 一時情報源
- Priority
- Community: Low
- RedHat: 4.8 Low
- CVSS Vector
- Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-52317
- リクエストと応答の取り違え
- HTTP/2リクエストによるリクエストと応答の不正なリサイクルにより、ユーザ間でリクエストと応答が取り違えられる可能性があります。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-52318
- 生成されたJSPでのXSSの脆弱性
- 以前の69333[0]での修正が、プールされているJSPタグが使用後に開放されなくしてしまった問題を発生させたため、一部のタグの出力が望んだとおりエスケープされなくなる可能性があります。このエスケープされない出力により、XSSが発生する可能性があります。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-52316
- 認証のバイパス
- 仮にTomcatが失敗を示すHTTP ステータスを明示的に設定せずに認証プロセス中に例外を投げるようなカスタマイズされたJakarta認証(旧JASPIC)ServerAuthContextコンポーネントを使用するように設定されている場合、ユーザーは認証プロセスをバイパスできる可能性があります。このように動作するJakarta認証コンポーネントは知られていません。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
