United States Computer Emergency Readiness Team (US-CERT)は12月4日(米国時間)、「Apache Releases Security Advisory for Apache Tomcat|CISA」において、Apache Tomcatに脆弱性が発見され、開発元のThe Apache Software Foundationがセキュリティアドバイザリをリリースしたことを伝えた。この脆弱性を悪用されると、HTTP/2接続において情報漏洩が起こる危険性がある。

脆弱性に関する情報は、コミッターのMark Thomasによる次のアナウンスにまとめられている。

この脆弱性はHTTP/2のリクエスト処理の不備に起因するもので、複数のストリームを送受信する際に、前のストリームのリクエストヘッダの値が後続のストリームのリクエストヘッダにそのまま引き継がれてしまうことがあり、その結果として情報の漏洩が発生する危険性があるという。ただし、多くの場合、ストリーム間でリクエストヘッダの値が引き継がれるとエラーが発生し、コネクションは閉じられるとのこと。

影響を受けるバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1 から 10.0.0-M9
  • Apache Tomcat 9.0.0.M5 から 9.0.39
  • Apache Tomcat 8.5.0 から 8.5.59

それぞれ、次のバージョンにアップデートすることでこの脆弱性を回避することができる。

  • Apache Tomcat 10.0.0-M10 以降
  • Apache Tomcat 9.0.40 以降
  • Apache Tomcat 8.5.60 以降
  • [SECURITY] CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up

    [SECURITY] CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up