Trio of Apache Tomcat Flaws Disclosed: Authentication Bypass, HTTP/2 Request Mix-Up, and XSS Flaw
2024/11/18 SecurityOnline — 先日に Apache Software Foundation が公開したのは、広く利用されている OSS の Web Server/Servlet Container である、Apache Tomcat に影響を及ぼす3件の脆弱性に関する情報である。認証バイパスから XSS 攻撃にいたるまでの、これらの脆弱性により、多数の Web アプリケーションが攻撃者に対して無防備になる可能性が生じる。
1つ目は、認証バイパスの脆弱性 CVE-2024-52316 である。このアドバイザリには、「Tomcat の認証プロセスの失敗を示す HTTP ステータスを、明示的に設定せずに例外をスローする可能性がある、カスタム Jakarta Authentication (旧 JASPIC) ServerAuthContext コンポーネントの問題である。このコンポーネントを使用するように設定されている場合には、実際の認証は失敗していない可能性があり、それにより、ユーザーは認証プロセスをバイパスできる。ありがたいことに、このように動作する Jakarta Authentication コンポーネントは認識されていない」と記されており、ある程度の安心感が与えられている。
2つ目の脆弱性 CVE-2024-52317 は、リクエストとレスポンスの混同に関係する問題を持つ。アドバイザリには、「HTTP/2 リクエストで使用されるリクエストとレスポンスの不適切なリサイクルが生じ、異なるユーザー間でのデータ漏洩につながる可能性がある。特定のユーザーの機密情報が、別のユーザーに送信されるレスポンスに、含まれてしまうことを想像してほしい」と記されている。
3つ目の CVE-2024-52318 は、生成された JSP (JavaServer Pages) に存在する、XSS 脆弱性である。アドバイザリには、「この脆弱性は、以前の修正である improvement 69333 により発生し、誤ってプールされた JSP タグが使用後に解放されず、一部のタグの出力が期待どおりにエスケープされない可能性が生じている。それにより、攻撃者は悪意のスクリプトを Web ページに挿入し、ユーザー・データの侵害や、セッション・ハイジャックを達成する可能性を手にする。
すでに Apache Tomcat プロジェクトは修正をリリースし、これらの3件の脆弱性に対応している。ユーザーに対して強く推奨されるのは、Apache Tomcat の最新バージョンへと、速やかにアップグレードすることだ:
- CVE-2024-52318:Apache Tomcat 11.0.1 以降/10.1.33 以降/9.0.97 以降へのアップグレード。
- CVE-2024-52316/CVE-2024-52317:Apache Tomcat 11.0.0 以降/10.1.31 以降/9.0.96 以降へのアップグレード。
Apache Tomcat に存在する、3件の脆弱性が FIX しました。その中の、認証バイパスの脆弱性 CVE-2024-52316 ですが、CISA-ADP が 9.8 という CVSS 値を付けています。ご利用のチームは、ご注意ください。よろしければ、Apache Tomcat で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.