
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
【概要】
Apache Tomcat には、Java API の実装不備に起因する情報漏えいの脆弱性が存在します。
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
* JSPのソースコードの漏えい - CVE-2021-24122
Java API File.getCanonicalPath() の予期しない動作に起因した情報漏えいの脆弱性が存在します。NTFSファイルシステムを利用したシステム構成で、ネットワーク上にリソースを提供する場合、セキュリティの制約を回避することが可能です。またシステム構成に依存して JSP のソースコードが表示される場合があります。
【CVSS による深刻度 (CVSS とは?)】
【影響を受けるシステム】
Apache Software Foundation
- Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
- Apache Tomcat 9.0.0.M1 から 9.0.39 まで
- Apache Tomcat 8.5.0 から 8.5.59 まで
- Apache Tomcat 7.0.0 から 7.0.106 まで
【想定される影響】
JSP のソースコードを表示され、機微な情報を窃取される可能性があります。
【対策】
[アップデートする]
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
* Apache Tomcat 10.0.0-M10
* Apache Tomcat 9.0.40
* Apache Tomcat 8.5.60
* Apache Tomcat 7.0.107
【ベンダ情報】
Apache Software Foundation
- Apache Tomcat : Fixed in Apache Tomcat 10.0.0-M10
- Apache Tomcat : Fixed in Apache Tomcat 9.0.40
- Apache Tomcat : Fixed in Apache Tomcat 8.5.60
- Apache Tomcat : Fixed in Apache Tomcat 7.0.107
- Pony Mail : CVE-2021-24122 Apache Tomcat Information Disclosure
【CWEによる脆弱性タイプ一覧 CWEとは?】
【共通脆弱性識別子(CVE) CVEとは?】
出典:JVN iPedia