JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月21日、「Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起」において、Apache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって任意のコードが実行される危険性があるという。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1から10.0.0-M4までのバージョン
  • Apache Tomcat 9.0.0.M1から9.0.34までのバージョン
  • Apache Tomcat 8.5.0から8.5.54までのバージョン
  • Apache Tomcat 7.0.0から7.0.103までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M5
  • Apache Tomcat 9.0.35
  • Apache Tomcat 8.5.55
  • Apache Tomcat 7.0.104
  • [SECURITY] CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence - Pony Mail

    [SECURITY] CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence - Pony Mail

この脆弱性は深刻度が重大(High)と評価されている。JPCERT/CCは必要に応じてアップデートを適用することを推奨しているが、アップデートの実施が難しい場合には、回避策を実施することも呼びかけている。