米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月16日(米国時間)、「Apache Releases Security Advisory for Tomcat|CISA」において、複数のバージョンのApache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報が窃取される危険性がある。
脆弱性に関する情報は次のページにまとまっている。
-
[SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apache Mail Archives
![[SECURITY] CVE-2022-25762 Apache Tomcat - Request Mix-up-Apache Mail Archives](/techplus/photo/article/20220518-2346751/images/001l.jpg)
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.0.M1から9.0.20までのバージョン
- Apache Tomcat 8.5.0から8.5.75までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.21
- Apache Tomcat 8.5.76
脆弱性は深刻度が重要(High)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
