CVE-2024-38286: Denial-of-Service Vulnerability Discovered in Apache Tomcat
2024/09/23 SecurityOnline — Apache Software Foundation が発表したセキュリティ・アドバイザリは、Tomcat で発見された脆弱性を悪用する攻撃者が、サービス拒否 (DoS) 攻撃を引き起こす可能性について警告するものである。この脆弱性 CVE-2024-38286 は “Important” と評価されており、すべてのプラットフォームにわたる、複数バージョンの Apache Tomcat に影響を及ぼす。
この脆弱性は、特定のコンフィグレーションにおいて、Tomcat が TLS ハンドシェイク処理を行う方法に起因する。脆弱性 CVE-2024-38286 を悪用する攻撃者は、 OutOfMemoryError を引き起こしてサーバをクラッシュさせ、それに依存する全サービスを中断させる可能性を手にする。この脆弱性が悪用されると、以下の事態が発生すると予測される。
- サービスの中断:Tomcat で実行されている重要なアプリケーションやサービスが利用不能になる可能性がある。
- リソースの枯渇:メモリ・リソースの枯渇により、サーバが応答不能になる可能性がある。
- 運用停止:大規模なダウンタイムに直面し、業務運営やユーザー・アクセスに影響を及ぼす可能性がある。
脆弱性 CVE-2024-38286 の影響を受ける Apache Tomcat のバージョンは、以下の通りである
- Apache Tomcat 11.0.0-M1~11.0.0-M20
- Apache Tomcat 10.1.0-M1~10.1.24
- Apache Tomcat 9.0.13~9.0.89
Apache Software Foundation がユーザーに対して強く推奨するのは、最新の安全なバージョンへと、ただちにアップグレードすることだ。
- Apache Tomcat 11:11.0.0-M21 以降
- Apache Tomcat 10.1:10.1.25 以降
- Apache Tomcat 9.0:9.0.90 以降
Apache Tomcat の DDoS 脆弱性 CVE-2024-38286 が FIX とのことです。広範なバージョンに対して影響が及ぶ脆弱性ですので、ご利用のチームは、ご注意ください。なお、このブログにおける直近の Tomcat トピックは、 2024/03/13 の「Apache Tomcat の脆弱性 CVE-2024-23672/CVE-2024-24549 が FIX:DoS 攻撃が生じる恐れ」です。よろしければ、Tomcat で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.