JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月22日、「JVNVU#92908681: Apache Tomcatにおける情報漏えいの脆弱性」において、Apache Tomcatに情報漏洩を引き起こす恐れがある脆弱性が存在するとして、注意を呼び掛けた。
脆弱性に関する情報は次のページにまとまっている。
- [SECURITY] CVE-2023-34981 Apache Tomcat - Information disclosure-Apache Mail Archives
- Apache Tomcat® - Apache Tomcat 11 vulnerabilities
- Apache Tomcat® - Apache Tomcat 10 vulnerabilities
- Apache Tomcat® - Apache Tomcat 9 vulnerabilities
- Apache Tomcat® - Apache Tomcat 8 vulnerabilities
- 66512 – File downloads render as empty if access to Tomcat based application is delegated via AJP
- 66591 – HttpResponse without any header generates corrupted AJP messages
脆弱性は「CVE-2023-34981」として特定されている。これはレスポンスにHTTPヘッダが設定されていない場合にAJP SEND_HEADERSメッセージが送信されないという動作に原因があるとされており、この結果として少なくともmod_proxy_ajpにおいて細工されたリクエストに対し以前のリクエストのレスポンスヘッダが使用されるという問題が発生すると説明されている。
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 11.0.0-M6およびこれより後のバージョン
- Apache Tomcat 10.1.9およびこれより後のバージョン
- Apache Tomcat 9.0.75およびこれより後のバージョン
- Apache Tomcat 8.5.89およびこれより後のバージョン