Apache Tomcat Vulnerabilities Exposed, Prompt Updates Required
2024/03/13 SecurityOnline — 人気の Web サーバ・ソフトウェアである Apache Tomcat に、2つの脆弱性 CVE-2024-23672/ CVE-2024-24549 が発見された。Tomcat に依存している組織は、これらの脆弱性を悪用したサービス拒否 (DoS:Denial-of-Service) 攻撃を軽減するために、優先的にアップデートを行う必要がある。
Apache Tomcat とは
Apache Tomcat とは、Jakarta Servlet/Jakarta Expression Language/WebSocket 技術が実装された、無料のオープンソース・ソフトウェアである。純粋な Java による HTTP Web サーバ環境を提供し、その中で Java コードを実行することも可能だ。したがって、完全な JEE アプリケーション・サーバではないが、Java Web アプリケーション・サーバとして活用されている。
脆弱性の詳細
- リソース浪費:CVE-2024-23672:攻撃者は、Tomcat の WebSocket 接続処理の脆弱性を悪用できる。それにより、サーバのリソースが無制限に占有され、Web サイトやアプリの速度の低下やクラッシュにいたる可能性がある。
- HTTP/2 ヘッダーの脆弱性:CVE-2024-24549:攻撃者は、リクエストと共に、サイズの大きな HTTP/2 ヘッダーを送信できる。Tomcat は、この巨大なヘッダを処理するのに手間取るため、リソースの枯渇やダウンタイムにつながる可能性がある。
脆弱なバージョン
これらの脆弱性は、以下の Apache Tomcat のバージョンに存在する:
- Apache Tomcat 11.0.0-M1〜11.0.0-M16
- Apache Tomcat 10.1.0-M1〜10.1.18
- Apache Tomcat 9.0.0-M1〜9.0.85
- Apache Tomcat 8.5.0〜8.5.98
慌てずにパッチの適用を!
幸いなことに、これらの脆弱性は、下記のバージョンで修正されている。直ちにアップデートすることが推奨される:
- Apache Tomcat 11.0.0-M17
- Apache Tomcat 10.1.19
- Apache Tomcat 9.0.86
- Apache Tomcat 8.5.99
アップデート後も、警戒を怠らないこと
パッチの適用は必要不可欠なものであるが、万能ではないことを忘れてはならない。セキュリティに関する、以下の防御策を常に念頭に置いておくことだ:
- 定期的なアップデート:Tomcat だけでなく、全てのソフトウェアに対するセキュリティ・パッチ適用の習慣をつけるべきだ。
- システムの監視:システムのリソース使用状況を監視し、攻撃を示す異常な動きを検知できるようにする。
- 徹底した防御:ファイアウォールや侵入検知システムなどの、セキュリティ対策を組み合わせて、何重にも防御することが重要だ。
2024年に入ってから2回目となる、Apache Tomcat の脆弱性 CVE-2024-23672/CVE-2024-24549 です。最近の関連記事で気になっているのは、2024/01/24 の「GoAnywhere の CVE-2024-0204:Horizon3 が詳述する PoC エクスプロイトとは?」に記されている、「この脆弱性は Tomcat ベースのアプリケーションで散見される、パス・トラバーサル問題に起因しているようだ」という部分です。広範囲で利用される Tomcat という現実が、再認識されます。よろしければ、併せて Tomcat で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.