JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月28日、「JVNVU#93446549: Apache Tomcatにおけるオープンリダイレクトの脆弱性」において、Apache Tomcatに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用してURLを細工することで、任意のWebサイトへリダイレクトされる可能性があるとされており注意が必要。

  • JVNVU#93446549: Apache Tomcatにおけるオープンリダイレクトの脆弱性

    JVNVU#93446549: Apache Tomcatにおけるオープンリダイレクトの脆弱性

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 11.0.0-M1から11.0.0-M10までのバージョン
  • Apache Tomcat 10.1.0-M1から10.1.12までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.79までのバージョン
  • Apache Tomcat 8.5.0から8.5.92までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 11.0.0-M11およびそれより後のバージョン
  • Apache Tomcat 10.1.13およびそれより後のバージョン
  • Apache Tomcat 9.0.80およびそれより後のバージョン
  • Apache Tomcat 8.5.93およびそれより後のバージョン

JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。