情報源
CISA Current Activity
Apache Releases Security Advisory for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/12/02/mozilla-releases-security-update-thunderbird
概要
リクエスト処理の不備に起因する情報漏えいの脆弱性があります。結果として、
他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可
能性があります。
– Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
– Apache Tomcat 9.0.0-M1 から 9.0.39 まで
– Apache Tomcat 8.5.0 から 8.5.59 まで
修正済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。
関連文書(日本語)
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94251682/
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200045.html
関連文書(英語)
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-12-09」
https://www.jpcert.or.jp/wr/2020/wr204801.html