United States Computer Emergency Readiness Team (US-CERT)は4月12日(米国時間)、「Apache Software Foundation Releases Security Updates」において、Apache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって機密情報などが窃取される危険性があり注意が必要。
脆弱性については、以下に詳細がまとまっている。
Apache Software Foundationからは、この脆弱性を修正した以下のバージョンが公開されている。
- Apache Tomcat 9.0.0.M19
- Apache Tomcat 8.5.13
- Apache Tomcat 8.0.43
- Apache Tomcat 7.0.77
- Apache Tomcat 6.0.53
US-CERTはユーザーや管理者に対して、上記ドキュメントの内容をチェックするとともに、必要に応じてアップデートを適用することを推奨している。Apache Tomcatはアプリケーションサーバとして広く使われており注意が必要。