United States Computer Emergency Readiness Team (US-CERT)は月20日(米国時間)、「Apache Releases Security Advisory for Apache Tomcat|US-CERT」において、Apache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってサービス拒否状態を引き起こされる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 9.0.0.M1から9.0.19までのバージョン
  • Apache Tomcat 8.5.0から8.5.40までのバージョン

脆弱性が修正されたバージョンは次のとおり。

  • Apache Tomcat 9.0.20およびこれ以降のバージョン
  • Apache Tomcat 8.5.41およびこれ以降のバージョン
  • CVE-2019-10072 Apache Tomcat HTTP/2 DoS

    CVE-2019-10072 Apache Tomcat HTTP/2 DoS

Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、適切なバージョンへアップグレードすることを推奨している。