Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

最終更新日: 2020/10/21

情報源

CISA Current Activity
Apache Releases Security Updates for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/apache-releases-security-updates-apache-tomcat

Japan Vulnerability Notes JVNVU#97307781

Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97307781/

概要

Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。結果として、遠隔の第三者が細工された HTTP/2 リクエストを送信し、予期しないリソースへの応答を誘発することで、情報を窃取する可能性があります。
対象となるバージョンは次のとおりです。

– Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
– Apache Tomcat 9.0.0.M1 から 9.0.37 まで
– Apache Tomcat 8.5.0 から 8.5.57 まで

この問題は、Apache Tomcat を Apache Software Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は Apache Software Foundation が提供する情報を参照してください。

関連文書 (英語)

Apache Software Foundation

Fixed in Apache Tomcat 10.0.0-M8
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8

Apache Software Foundation

Fixed in Apache Tomcat 9.0.38
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38

Apache Software Foundation

Fixed in Apache Tomcat 8.5.58
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-10-21」
https://www.jpcert.or.jp/wr/2020/wr204101.html