JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月21日、「Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起」において、Apache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって任意のコードが実行される危険性があるという。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 10.0.0-M1から10.0.0-M4までのバージョン
- Apache Tomcat 9.0.0.M1から9.0.34までのバージョン
- Apache Tomcat 8.5.0から8.5.54までのバージョン
- Apache Tomcat 7.0.0から7.0.103までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 10.0.0-M5
- Apache Tomcat 9.0.35
- Apache Tomcat 8.5.55
- Apache Tomcat 7.0.104
この脆弱性は深刻度が重大(High)と評価されている。JPCERT/CCは必要に応じてアップデートを適用することを推奨しているが、アップデートの実施が難しい場合には、回避策を実施することも呼びかけている。