[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

Apache Tomcatのリモートコード実行の脆弱性 修正が不完全のため設定の見直しが必要セキュリティニュースアラート

先日Apache Tomcatに見つかったリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全であることが判明した。影響を受けるバージョンの利用者には、速やかなアップデートと追加の設定見直しが必要になるため注意が必要だ。

» 2024年12月25日 07時30分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Apache Software Foundationは2024年12月21日(現地時間)、OSS(オープンソースソフトウェア)のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に脆弱(ぜいじゃく)性が存在することを発表した。これは先日公開されたリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全だったことを受けて、再修正されたものだ。

Apache Tomcatの修正が不完全 追加の緊急対応が必要になるため注意

 新しく発表された脆弱性は以下の通りだ。

  • CVE-2024-56337: Time-of-Check Time-of-Use(TOCTOU)レースコンディションの脆弱性。CVE-2024-50379の不完全な修正が原因。サーブレットに書き込みアクセスが許可されており、ファイルシステムが大文字と小文字を区別しない環境の場合、脆弱性を完全に修正するために追加の設定が必要になる

 CVE-2024-56337を修正した新しいバージョンはリリースされていない。そのため、影響を受けるユーザーはCVEの説明の通り、追加の設定で回避する必要がある。

 前回の脆弱性CVE-2024-50379の影響を受けるApache Tomcatのバージョンは以下の通りだ。

  • Apache Tomcat 11.0.0-M1から11.0.1までのバージョン
  • Apache Tomcat 10.1.0-M1から10.1.33までのバージョン
  • Apache Tomcat 9.0.0.M1から9.0.97までのバージョン

 CVE-2024-50379が修正されたApache Tomcatのバージョンは以下の通りだ。

  • Apache Tomcat 11.0.2およびこれ以降のバージョン
  • Apache Tomcat 10.1.34およびこれ以降のバージョン
  • Apache Tomcat 9.0.98およびこれ以降のバージョン

 新しい脆弱性を回避するためには、上記バージョンにアップデート後、Apache Tomcatで使用しているJavaのバージョンに応じて次の追加の設定が必要になる。

  • Java 8またはJava 11: システムプロパティ「sun.io.useCanonCaches」を明示的にfalseに設定する
  • Java 17: システムプロパティ「sun.io.useCanonCaches」が設定されている場合、falseに設定されていることを確認する
  • Java 21以降: 追加の設定は不要

 本件については通常と異なる対応を求められるが、放置するとリモートコード実行などの重大な被害に遭う可能性がある。影響を受ける製品を利用している管理者には、速やかな対応が推奨されている。なお、次期リリース予定のApache Tomcat 11.0.3、10.1.35、9.0.99ではデフォルトで完全に修正される見込みとなっている。

Copyright © ITmedia, Inc. All Rights Reserved.