JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は3月26日、「Apache Tomcat の脆弱性 (CVE-2019-0199) について」において、Apache Tomcatに脆弱性が存在すると伝えた。

該当するバージョンのプロダクトにはHTTP/2の実装に問題があり、この脆弱性が悪用された場合はサービス運用妨害(Denial of Service)攻撃を受ける危険性があるとされている。脆弱性が存在するバージョンおよびプロダクトは次のとおり。

  • Apache Tomcat 9.0.0.M1〜9.0.14までのバージョン
  • Apache Tomcat 8.5.0〜8.5.37までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 9.0.16およびこれより後のバージョン
  • Apache Tomcat 8.5.38およびこれより後のバージョン

脆弱性に関する情報は次のページに記載されている。

  • [SECURITY] CVE-2019-0199 Apache Tomcat HTTP/2 DoS

    [SECURITY] CVE-2019-0199 Apache Tomcat HTTP/2 DoS

それほど緊急性の高い脆弱性ではないと考えられているが、該当するプロダクトおよびバージョンを使用している場合は、アップデート計画の立案などを検討することが望まれる。