United States Computer Emergency Readiness Team (US-CERT)は6月26日(米国時間)、「Apache Releases Security Advisory for Apache Tomcat|CISA」において、Apache Tomcatに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってサービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1から10.0.0-M5までのバージョン
  • Apache Tomcat 9.0.0.M1から9.0.35までのバージョン
  • Apache Tomcat 8.5.0から8.5.55までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M6またはこれ以降のバージョン
  • Apache Tomcat 9.0.36またはこれ以降のバージョン
  • Apache Tomcat 8.5.56またはこれ以降のバージョン
  • [SECURITY] CVE-2020-11996 Apache Tomcat HTTP/2 Denial of Service

    [SECURITY] CVE-2020-11996 Apache Tomcat HTTP/2 Denial of Service

CISAはユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。