JPCERTコーディネーションセンター(JPCERT/CC)は1月22日、「JVNVU#98698305: Apache Tomcatにおける情報漏えいの脆弱性」において、Apache Tomcatに脆弱性が存在するとして、注意を喚起した。攻撃者にこの脆弱性を悪用されると、情報が漏洩する可能性がある。

  • JVNVU#98698305: Apache Tomcatにおける情報漏えいの脆弱性

    JVNVU#98698305: Apache Tomcatにおける情報漏えいの脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

修正された脆弱性は次のとおり。

  • CVE-2024-21733 - 機密情報を含むエラーメッセージを生成する不具合

脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 9.0.0-M11から9.0.43までのバージョン
  • Apache Tomcat 8.5.7から8.5.63までのバージョン

脆弱性が修正されたバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 9.0.44
  • Apache Tomcat 8.5.64

上記の修正バージョンでは、「CVE-2021-41079」にて追跡されるTLS(Transport Layer Security)パケットを不適切に検証する不具合も修正されている。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。