JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は3月2日(米国時間)、「JVNVU#97014415: Apache Tomcat に対するアップデート」において、The Apache Software FoundationがApache Tomcatの複数の脆弱性に対処するセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、リモートの第三者によって任意のバイトコードを実行されたり、他のユーザーのリクエストに対する結果を参照されたりする可能性があるという。

今回報告された脆弱性は次の2つ。

  • CVE-2021-25329: デシリアライズ対象データの検証が適切ではなく、その結果としてリモートの第三者によって任意のバイトコードを実行される危険性がある。
  • CVE-2021-25122: 新しいh2c接続リクエストに応答する際にTomcatがリクエストのヘッダーおよび本文の一部を別のリクエストに複製できる。その結果として、別のユーザが元のリクエストに対する結果を参照できる危険性がある。

CVE-2021-25329については、CVE-2020-9484に対する修正が不十分であったために改めて修正されたとのこと。それぞれの脆弱性に関する詳しい情報は、Tomcatのメーリングリストへの次の投稿にまとめられている。

  • [SECURITY] CVE-2021-25329 Apache Tomcat Incomplete fix for CVE-2020-9484 (RCE via session persistence)

    [SECURITY] CVE-2021-25329 Apache Tomcat Incomplete fix for CVE-2020-9484 (RCE via session persistence)

  • [SECURITY] CVE-2021-25122 Apache Tomcat h2c request mix-up

    [SECURITY] CVE-2021-25122 Apache Tomcat h2c request mix-up

CVE-2021-25329の影響を受けるバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1 から 10.0.0 まで
  • Apache Tomcat 9.0.0.M1 から 9.0.41 まで
  • Apache Tomcat 8.5.0 から 8.5.61 まで
  • Apache Tomcat 7.0.0 から 7.0.107 まで

また、CVE-2021-25122の影響を受けるバージョンは次のとおり。

  • Apache Tomcat 10.0.0-M1 から 10.0.0 まで
  • Apache Tomcat 9.0.0.M1 から 9.0.41 まで
  • Apache Tomcat 8.5.0 から 8.5.61 まで

脆弱性の重要度は、CVE-2021-25329が低(Low)、CVE-2021-25122が重要(Important)となっている。いずれも、今回リリースされた最新バージョンにアップデートすることで被害を防ぐことができる。