JPCERTコーディネーションセンター(JPCERT/CC)は1月22日、「JVNVU#98698305: Apache Tomcatにおける情報漏えいの脆弱性」において、Apache Tomcatに脆弱性が存在するとして、注意を喚起した。攻撃者にこの脆弱性を悪用されると、情報が漏洩する可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- [SECURITY] CVE-2024-21733 Apache Tomcat - Information Disclosure-Apache Mail Archives
- Apache Tomcat - Apache Tomcat 9 vulnerabilities
- Apache Tomcat - Apache Tomcat 8 vulnerabilities
修正された脆弱性は次のとおり。
- CVE-2024-21733 - 機密情報を含むエラーメッセージを生成する不具合
脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.0-M11から9.0.43までのバージョン
- Apache Tomcat 8.5.7から8.5.63までのバージョン
脆弱性が修正されたバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Tomcat 9.0.44
- Apache Tomcat 8.5.64
上記の修正バージョンでは、「CVE-2021-41079」にて追跡されるTLS(Transport Layer Security)パケットを不適切に検証する不具合も修正されている。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。