CVE-2024-21733: Apache Tomcat Information Disclosure Vulnerability
2024/01/19 SecurityOnline — Web テクノロジーが拡大し続ける中で、その基盤として登場した Apache Tomcat は、Jakarta Servlet/Jakarta Expression Language/WebSocket 技術にとって、極めて重要なオープンソースのインプリメンテーションである。
Tomcat は、完全な JEE アプリケーション・サーバではないが、純粋な Java HTTP Web サーバ環境として、また、卓越した Java Web アプリケーション・サーバとして、Java コードを実行する最適なプラットフォームであり続けてきた。しかし、その Apache Tomcat に、新たに深刻な脆弱性が見つかった。
この脆弱性 CVE-2024-21733 は、Apache Tomcat の堅牢なアーキテクチャに影を落としている。この脆弱性は、Web 通信でよく発生する、不完全な POST リクエストがエラー応答を引き起こすという、憂慮すべきシナリオを紐解いている。これ自体は珍しいことではないが、問題の核心は、このエラー・レスポンスにある。このようなエラーは、情報漏洩の潜在的なリスクをもたらす可能性があるのだ。
この欠陥を報告した、Sn1perSecurity LLC のセキュリティ研究者 xer0dayz の功績は大きい。
この脆弱性の影響を受ける Apache Tomcat のバージョンは、9.0.0-M11〜9.0.43/8.5.7〜8.5.63 と幅広い。これらのバージョンを使用しているユーザーは、知らず知らずのうちに CVE-2024-21733 の脅威にさらされており、機密情報の漏えいを生じる可能性がある。
該当バージョンを使用している場合には、Apache Tomcat 9.0.44 以降にアップグレードが推奨される。また、8.5.x ブランチを使用している場合には、Apache Tomcat 8.5.64 以降への移行が推奨される。
文中でも Apache Tomcat の堅牢さが褒められていますが、たしかに脆弱性や攻撃に関する情報は少ないと思えます。直近では、2023/11/28 の「Apache Tomcat の脆弱性 CVE-2023-46589:システムの悪用につながる可能性」がありましたが、その前は穏やかです。よろしければ、Apache Tomcat で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.