United States Computer Emergency Readiness Team (US-CERT)は4月14日(米国時間)、「Apache Releases Security Updates for Apache Tomcat|US-CERT」において、Apache Tomcatに脆弱性が存在すると伝えた。

Apache TomcatはオープンソースのJavaサーブレット(Servlet)やJSP(JavaServer Pages)の実行環境。この脆弱性を悪用されると、遠隔からの攻撃によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 9.0.0.M1から9.0.17までのバージョン
  • Apache Tomcat 8.5.0から8.5.39までのバージョン
  • Apache Tomcat 7.0.0から7.0.93までのバージョン

本稿執筆時点で、この脆弱性が修正されたバージョンとして次のプロダクトが公開されている。

  • Apache Tomcat 8.5.40
  • Apache Tomcat 7.0.93

Apache Tomcat 9.0系に関しては脆弱性を修正したバージョンとしてApache Tomcat 9.0.18がリリースされる見込みになっている。

  • [SECURITY] CVE-2019-0232 Apache Tomcat Remote Code Execution on Windows

    [SECURITY] CVE-2019-0232 Apache Tomcat Remote Code Execution on Windows

Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記の脆弱性情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。