JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月22日、「JVNVU#92908681: Apache Tomcatにおける情報漏えいの脆弱性」において、Apache Tomcatに情報漏洩を引き起こす恐れがある脆弱性が存在するとして、注意を呼び掛けた。

脆弱性に関する情報は次のページにまとまっている。

  • [SECURITY] CVE-2023-34981 Apache Tomcat - Information disclosure-Apache Mail Archives

    [SECURITY] CVE-2023-34981 Apache Tomcat - Information disclosure-Apache Mail Archives

脆弱性は「CVE-2023-34981」として特定されている。これはレスポンスにHTTPヘッダが設定されていない場合にAJP SEND_HEADERSメッセージが送信されないという動作に原因があるとされており、この結果として少なくともmod_proxy_ajpにおいて細工されたリクエストに対し以前のリクエストのレスポンスヘッダが使用されるという問題が発生すると説明されている。

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 11.0.0-M6およびこれより後のバージョン
  • Apache Tomcat 10.1.9およびこれより後のバージョン
  • Apache Tomcat 9.0.75およびこれより後のバージョン
  • Apache Tomcat 8.5.89およびこれより後のバージョン