JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月27日、オープンソースのJavaアプリケーションサーバ「Apache Tomcat」に脆弱性が報告され、開発元のApache Software Foundationが修正版をリリースしたと伝えた。この脆弱性を悪用されると、ローカルの攻撃者によってTomcatのプロセスが使用しているユーザーの権限でアクションを実行される可能性がある。
この脆弱性はCVE-2022-23181として追跡されており、2020年5月に報告されたCVE-2020-9484の脆弱性に対する修正を行った際に混入したものだという。脆弱性の種類はTime-of-check Time-of-use(TOCTOU)と呼ばれるもので、ある条件をチェックしてからその結果を行使するまでの間に、条件に関連する状態が変更されることによる競合状態が原因となって発生する。開発元によると、この問題はTomcatがFileStoreを使用してセッションを永続化するように構成されている場合にのみ悪用可能になるとのことだ。
CVE-2022-23181の影響を受けるバージョンは次のとおり。
- Apache Tomcat 10.1.0-M1から10.1.0-M8までのバージョン
- Apache Tomcat 10.0.0-M5から10.0.14までのバージョン
- Apache Tomcat 9.0.35から9.0.56までのバージョン
- Apache Tomcat 8.5.55から8.5.73までのバージョン
それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。
- Apache Tomcat 10.1.0-M10以降のバージョン
- Apache Tomcat 10.0.16以降のバージョン
- Apache Tomcat 9.0.58以降のバージョン
- Apache Tomcat 8.5.75以降のバージョン
アップデートの詳細は次の脆弱性情報ページにまとめられている。