JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月16日、「JVNVU#92089088: Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性」において、Apache Tomcatに脆弱性が報告されていると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムに対してサービス運用妨害(DoS)攻撃が行われる危険性がある。

該当する脆弱性に関する情報は、Apache TomcatのコミッターであるMark Thomas氏よりメーリングリスト向けに以下のアナウンスが送られている。

この脆弱性は、TLSにNIOとOpenSSLまたはNIO2とOpenSSLを使用するシステム構成の場合に、悪意をもって細工されたパケットを受信するとTLSの内部処理で無限ループが引き起こされる可能性があるというもの。追跡番号「CVE-2021-41079」として追跡されている。

影響を受けるバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1から10.0.2までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.43までのバージョン
  • Apache Tomcat 8.5.0から8.5.63までのバージョン

それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。

  • Apache Tomcat 10.0.4以降のバージョン
  • Apache Tomcat 9.0.44以降のバージョン
  • Apache Tomcat 8.5.64以降のバージョン

Apache Tomcat 10.0.3では、この問題は修正されているものの、リリース投票に合格しなかったためリリース候補になっていないという。したがって、バージョン10系のユーザーは10.0.3ではなく10.0.4にアップデートする必要がある。

  • Mark Thomas氏からのメーリングリストへの投稿

    Mark Thomas氏からのメーリングリストへの投稿