JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月11日、「JVNVU#98578492: Apache TomcatのEncryptInterceptorのドキュメントにおける記載誤りの問題」において、Apache tomcatの暗号化関連の機能であるEncryptInterceptorのドキュメントに、安全性を誤認させる記載の誤りが報告されていると伝えた。
これまでのEncryptInterceptorのドキュメントでは、Tomcatクラスタリングが信頼できないネットワーク上で実行できるようになると記載されていた。しかしこれは誤りであり、実際には信頼できないネットワーク上では想定する保護ができない可能性があり、特にサービス運用妨害(DoS)に関するリスクについては保護が実現できないという。
- Apache Tomcat 10.1.0-M1から10.1.0-M14までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.20までのバージョン
- Apache Tomcat 9.0.13から9.0.62までのバージョン
- Apache Tomcat 8.5.38から8.5.78までのバージョン
この問題はCVE-2022-29885として追跡されている。詳細はApache Tomcatの次のリリースノートを参照のこと。
- Fixed in Apache Tomcat 10.1.0-M15 - Apache Tomcat 10 vulnerabilities
- Fixed in Apache Tomcat 10.0.21 - Apache Tomcat 10 vulnerabilities
- Fixed in Apache Tomcat 9.0.63 - Apache Tomcat 9 vulnerabilities
- Fixed in Apache Tomcat 8.5.79 - Apache Tomcat 8 vulnerabilities
-
Apache Tomcat 10.x vulnerabilities
次のバージョンのドキュメントでは、記載内容が修正されている。
- Apache Tomcat 10.1.0-M15
- Apache Tomcat 10.0.21
- Apache Tomcat 9.0.63
- Apache Tomcat 8.5.79
なお、これはドキュメントの記載の問題であり、実装上の問題ではないため、修正バージョンなどはリリースされていない。
