United States Computer Emergency Readiness Team (US-CERT)は1月15日(米国時間)、「Apache Releases Security Advisory for Tomcat |CISA」において、複数のバージョンのApache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報を窃取される危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 10.0.0-M1から10.0.0-M9までのバージョン
- Apache Tomcat 9.0.0.M1から9.0.39までのバージョン
- Apache Tomcat 8.5.0から8.5.59までのバージョン
- Apache Tomcat 7.0.0から7.0.106までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 10.0.0-M10
- Apache Tomcat 9.0.40
- Apache Tomcat 8.5.60
- Apache Tomcat 7.0.107
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。