JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月30日、「JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性」において、Apache Tomcatに重要度の高いセキュリティ脆弱性が報告されていることを伝えた。このセキュリティ脆弱性を利用されると、悪意のある第三者に情報が漏えいする危険性があるという。

該当する脆弱性はCVE-2021-43980として追跡されており、開発元のThe Apache Software Foundationからは次のセキュリティアラートが発行されている。

  • CVE-2021-43980 Apache Tomcat - Information Disclosure

    CVE-2021-43980 Apache Tomcat - Information Disclosure

この脆弱性はread/writeをブロックする処理を簡素化する実装に起因しており、複数のクライアントからの接続があった場合に、Http11Processorインスタンスを共有しているクライアント接続でレスポンスのすべてまたは一部を誤ったクライアントに送信してしまう可能性があるという。これによって、無関係な第三者に機密性の高い情報が送られてしまう危険性がある。

誤った実装はTomcat 10で導入された後に、Tomcat 9.0.47以降にバックポートされたという。具体的には、次のバージョンがCVE-2021-43980の影響を受けるとされている。

  • Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン
  • Apache Tomcat 10.0.0-M1から10.0.18までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.60までのバージョン
  • Apache Tomcat 8.5.0から8.5.77までのバージョン

The Apache Software Foundationからは、2022年4月1日にこの問題を修正したバージョンのTomcatがリリースされている。具体的には、次のバージョンにアップデートすることで、CVE-2021-43980の影響を回避することができる。

  • Apache Tomcat 10.1.0-M14およびそれ以降のバージョン
  • Apache Tomcat 10.0.20およびそれ以降の以降のバージョン
  • Apache Tomcat 9.0.62およびそれ以降の以降のバージョン
  • Apache Tomcat 8.5.78およびそれ以降の以降のバージョン

JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。