United States Computer Emergency Readiness Team (US-CERT)は2020年10月14日(米国時間)、「Apache Releases Security Updates for Apache Tomcat|CISA」において、オープンソースの サーブレットコンテナであるApache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報の窃取が行われる危険性があるとされおり注意が必要。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1から10.0.0-M7までのバージョン
  • Apache Tomcat 9.0.0.M1から9.0.37までのバージョン
  • Apache Tomcat 8.5.0から8.5.57までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M8
  • Apache Tomcat 9.0.38
  • Apache Tomcat 8.5.58
  • [SECURITY] CVE-2020-13943 Apache Tomcat HTTP/2 Request mix-up

    [SECURITY] CVE-2020-13943 Apache Tomcat HTTP/2 Request mix-up