Apache Tomcatの脆弱性(Moderate: CVE-2026-24734, Low: CVE-2026-24733)

02/17/2026にApache Tomcatの脆弱性(Moderate: CVE-2026-24734, Low: CVE-2026-24733)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

  • CVE-2026-24733
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Vendor: Low
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-02-18
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-24734
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Vendor: Moderate
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): 7.4 Important
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
    • EPSS Score/Percentile
      • DATE(JST): 2026-02-18
      • EPSS: Not Available
      • Percentile: Not Available

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2026-24733
    • Apache Tomcat: HTTP/0.9でのセキュリティ制限の迂回
    • TomcatがHTTP/0.9リクエストのGETメソッドに対する制限を行っていませんでした。セキュリティ制限がURIに対してのHEADリクエストを許可していてGETリクエストを拒否している場合、ユーザはHTTP/0.9による不正なHEADリクエストを送信することにより、GETリクエストに対する制限を迂回することができる可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-24734
    • Apache Tomcat: OCSPの執行バイパス
    • Tomcatは、オンライン証明書ステータスプロトコル(OCSP)をサポートしていますが、OCSPを使用する際にTomcatのOpenSSLを使用したFFM実装で検証やフレッシュネスのチェックをきちんと行っていないため、証明書のバイパスに繋がります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました