RCE and DoS Vulnerabilities Addressed in Apache Tomcat: CVE-2024-50379 and CVE-2024-54677
2024/12/17 SecurityOnline — Apache Software Foundation が発表したのは、OSS として広く使用されている Web サーバ/サーブレット・コンテナ Apache Tomcat に存在する、2つの脆弱性に対処するための重要なセキュリティ・アップデートのリリースである。
1つ目の脆弱性は、攻撃者に対して任意のリモート・コード実行を許し、システムや機密データを危険にさらす可能性があるものだ。この脆弱性 CVE-2024-50379 (Important) は、デフォルトのサーブレットに存在するものだ。サーブレットが書込アクセスを許可するようにコンフィグされ、基盤となるファイル・システムが大文字/小文字を区別しないケースにおいて、特定の条件下での悪用の可能性が生じる。この脆弱性を悪用する攻撃者は、正当なファイルを装う悪意のファイルをアップロードすることで、リモート・コード実行 (RCE) を引き起こす可能性を手にする。
2つ目の脆弱性 CVE-2024-54677 は、Apache Tomcat に取り込まれている、”examples” Web アプリケーションに影響を与える、サービス拒否 (DoS) の欠陥である。この脆弱性を悪用する攻撃者は、過大なデータをアップロードすることで OutOfMemoryError をトリガーし、サーバのクラッシュによるサービス中断を引き起こす可能性を手にする。この脆弱性の深刻度は “Low” であるが、この欠陥に対処して、Tomcat サーバの安定性と可用性を確保することが重要である。
影響を受けるバージョン
この脆弱性は、以下のバージョンなどの、幅広い Apache Tomcat バージョンに影響を及ぼす:
- Apache Tomcat 11.0.0-M1 ~ 11.0.1
- Apache Tomcat 10.1.0-M1 ~ 10.1.33
- Apache Tomcat 9.0.0.M1 ~ 9.0.97
緩和策
Apache Software Foundation が、すべてのユーザーに対して強く推奨するのは、最新バージョンの Tomcat へと、ただちに更新することだ。以下のバージョンに、2つの脆弱性に対する修正が含まれている:
管理者に対して推奨されるのは、Apache の公式セキュリティ・アドバイザリを確認し、可能な限り早急に必要なアップデートを適用し、悪用のリスクを軽減することだ。インターネットに公開されているシステムや、機密情報を扱うシステムにとって、上記の対応は極めて重要である。
Apache Tomcat の2つの脆弱性が FIX しました。任意のリモート・コード実行とサービス拒否 (DoS) の欠陥とのことです。ご利用のチームは、ご注意ください。関連する最近のトピックは、2024/11/18 の「Apache Tomcat の3件の脆弱性が FIX:認証バイパスや XSS の恐れ」となります。よろしければ、Apache Tomcat で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.