JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月28日、「JVNVU#93446549: Apache Tomcatにおけるオープンリダイレクトの脆弱性」において、Apache Tomcatに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用してURLを細工することで、任意のWebサイトへリダイレクトされる可能性があるとされており注意が必要。
脆弱性に関する情報は次のページにまとまっている。
- [SECURITY] CVE-2023-41080 Apache Tomcat - open redirect-Apache Mail Archives
- Apache Tomcat® - Apache Tomcat 11 vulnerabilities
- Apache Tomcat® - Apache Tomcat 10 vulnerabilities
- Apache Tomcat® - Apache Tomcat 9 vulnerabilities
- Apache Tomcat® - Apache Tomcat 8 vulnerabilities
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 11.0.0-M1から11.0.0-M10までのバージョン
- Apache Tomcat 10.1.0-M1から10.1.12までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.79までのバージョン
- Apache Tomcat 8.5.0から8.5.92までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 11.0.0-M11およびそれより後のバージョン
- Apache Tomcat 10.1.13およびそれより後のバージョン
- Apache Tomcat 9.0.80およびそれより後のバージョン
- Apache Tomcat 8.5.93およびそれより後のバージョン
JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。