JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月19日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#98104709: Apache Tomcat の複数の脆弱性に対するアップデート」において、Apache Tomcatの脆弱性について伝えた。
脆弱性(CVE-2019-12418)の影響を受けるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.0.M1から9.0.28までのバージョン
- Apache Tomcat 8.5.0 から8.5.47までのバージョン
- Apache Tomcat 7.0.0 から7.0.97までのバージョン
脆弱性(CVE-2019-17563)の影響を受けるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.0.M1から9.0.29までのバージョン
- Apache Tomcat 8.5.0から8.5.49までのバージョン
- Apache Tomcat 7.0.0から7.0.98までのバージョン
CVE-2019-12418は情報漏洩、CVE-2019-17563はセッション固定攻撃につながる脆弱性とされており、これら脆弱性を悪用されると、Tomcatインスタンスの制御権が乗っ取られたり、FORM認証されたユーザーの権限で任意の操作が行われたりする危険性があるとされており、注意が必要。
一覧に使用中のソフトウェアの名前が含まれている場合は、プロジェクトのサイトで最新の情報をチェックするとともに、修正されたバージョンへアップデートするなど迅速に対処することが推奨される。