JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月14日、「JVNVU#99626420: Apache Tomcatにおける複数のサービス運用妨害(DoS)の脆弱性」において、Apache Tomcatに複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)の攻撃を受ける可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- [SECURITY] CVE-2024-23672 Apache Tomcat - Denial of Service-Apache Mail Archives
- [SECURITY] CVE-2024-24549 Apache Tomcat - Denial of Service-Apache Mail Archives
- Apache Tomcat - Apache Tomcat 11 vulnerabilities
- Apache Tomcat - Apache Tomcat 10 vulnerabilities
- Apache Tomcat - Apache Tomcat 9 vulnerabilities
- Apache Tomcat - Apache Tomcat 8 vulnerabilities
修正された脆弱性(CVE)の情報は次のとおり。
- CVE-2024-23672 - 不完全なクリーンアップによるサービス拒否の脆弱性
- CVE-2024-24549 - HTTP/2リクエストの不適切な入力検証の脆弱性
脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 11.0.0-M1から11.0.0-M16までのバージョン
- Apache Tomcat 10.1.0-M1から10.1.18までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.85までのバージョン
- Apache Tomcat 8.5.0から8.5.98までのバージョン
脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 11.0.0-M17およびこれ以降のバージョン
- Apache Tomcat 10.1.19およびこれ以降のバージョン
- Apache Tomcat 9.0.86およびこれ以降のバージョン
- Apache Tomcat 8.5.99およびこれ以降のバージョン
JPCERT/CCは、開発者の提供する情報に基づきアップデートを適用することを推奨している。