Apache Tomcatの脆弱性(Moderate: CVE-2026-43512, CVE-2026-43515, Low: CVE-2026-41284, CVE-2026-41293, CVE-2026-42498, CVE-2026-43513, CVE-2026-43514)

05/13/2026にApache Tomcatの脆弱性(Moderate: CVE-2026-43512, CVE-2026-43515, Low: CVE-2026-41284, CVE-2026-41293, CVE-2026-42498, CVE-2026-43513, CVE-2026-43514)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

  • CVE-2026-43512
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Moderate
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-43515
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Moderate
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-41284
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Low
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-41293
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Low
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-42498
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Low
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-43513
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Low
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-43514
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
      • Vendor: Low
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-05-12
      • EPSS: Not Available
      • Percentile: Not Available

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2026-43512
    • Apache Tomcat: 任意のUnknownユーザによりダイジェスト認証が認証される
    • Apache Tomcatでのダイジェスト認証を迂回する脆弱性になります。
  • https://www.cve.org/CVERecord?id=CVE-2026-43515
    • Apache Tomcat: セキュリティ制限が正しく適用されない問題
    • 複数のセキュリティ制限がHTTPメソッド制限の複数のパターンで掛かっている場合には、最初のメソッド制限のみが適用されます。
  • https://www.cve.org/CVERecord?id=CVE-2026-41284
    • Apache Tomcat: WebDAV LOCKとPROPFIND処理の際に協会制限のない読み込みが許可される問題
    • 認証されていないユーザが利用できるWebDAV LOCKまたはPROPFINDリクエストのリクエストボディーでは何の制限も行われていませんでした。
  • https://www.cve.org/CVERecord?id=CVE-2026-41293
    • Apache Tomcat: HTTP/2 リクエストヘッダがきちんと検証されていなかった問題
    • HTTP/2リクエストヘッダーはきちんと検証されていなかったため、サーブレットAPIを通じて公開されるヘッダー値が使用に準拠していると想定した場合、予期していないアプリケーションの振る舞いをする可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-42498
    • Apache Tomcat: WebSocket認証ヘッダーの露出
    • WebSocketリクエストが認証のあとにリダイレクトされた場合、TomcatのWebSocketクライアントは最新の認証ヘッダーをリダイレクト先のホストに提示します。
  • https://www.cve.org/CVERecord?id=CVE-2026-43513
    • Apache Tomcat: LockOutRealmがユーザ名を大文字小文字を別のものとして扱う問題
    • LockOut Realmがユーザ名の大文字小文字を別のものとして扱うため、大文字小文字を区別しないRealmでは、LockOut Realmはユーザーのパスワードに対する総当たり攻撃を効果的に阻止できませんでした。
  • https://www.cve.org/CVERecord?id=CVE-2026-43514
    • Apache Tomcat: AJPシークレットが一定の時間で比較されない
    • AJPシークレットが一定の時間で比較されないため、ローカルネットワーク上の攻撃者はタイミング攻撃を仕掛けてAJPシークレットを特定できる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました