メディア

Apache TomcatにCVSS 9.8の深刻な脆弱性　リモートコード実行を可能にするリスク：セキュリティニュースアラート

Apache TomcatにCVSS v3.1のスコア値9.8、深刻度「緊急」（Critical）の脆弱性が見つかった。影響を受けるバージョンの利用者は、速やかに修正版へのアップデートを推奨されている。

» 2024年12月20日 07時00分公開

[後藤大地，有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

　Apache Software Foundationは2024年12月18日（現地時間）、OSS（オープンソースソフトウェア）のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に複数の脆弱（ぜいじゃく）性が存在することを発表した。

　これらの脆弱性のうち一つは共通脆弱性評価システム（CVSS）v3.1のスコア値9.8、深刻度「緊急」（Critical）に分類されている。

Apache Tomcatにリモートコード実行の脆弱性　急ぎ対処を

　指摘されている脆弱性は以下の通りだ。

CVE-2024-54677：　サービス運用妨害の脆弱性。標準で提供されるサンプルWebアプリケーションにサービス運用妨害につながる制御不能なリソース消費の欠陥がある。CVSS v3.1のスコア値5.3、深刻度「警告」（Medium）に分類されている
CVE-2024-50379：　リモートコード実行の脆弱性。Apache TomcatでのJSPコンパイル中に発生するTOCTOU競合状態の欠陥とされている。サーブレットに書き込みアクセスが許可されており、ファイルシステムが大文字と小文字を区別しない環境において悪用される可能性がある。この脆弱性はCVSS v3.1のスコア値9.8、深刻度「緊急」（Critical）に分類されている

　脆弱性の影響を受けるApache Tomcatのバージョンは以下の通りだ。

　脆弱性が修正されたApache Tomcatのバージョンは以下の通りだ。

　脆弱性を抱えるソリューションの継続的な利用はセキュリティ上の重大なリスクとなる。Apache Tomcatを使用している場合、速やかにアップデートを適用することが求められる。

ChatGPTは犯罪者たちの“良き相棒”に　ダークWebで観測した生成AIの悪用事例8選
生成AIを悪用したサイバー犯罪は既に現実のものとなっている。では攻撃者はこれをどのように悪用するのか。本稿はダークWebで観測した具体的な8つの悪用事例を解説するとともに、今後起き得る13のAIリスクについても紹介する。
Azureの多要素認証に重大な脆弱性　4億以上のMicrosoft 365アカウントに影響か
Oasis SecurityはMicrosoft Azureの多要素認証に回避可能な脆弱性が存在すると報告した。この問題は4億以上のMicrosoft 365アカウントに影響を及ぼす可能性がある。
Yahooがセキュリティチームの従業員を大量レイオフ　レッドチームも解散へ
Cybersecurity NewsはYahooがサイバーセキュリティチーム「Paranoids」の従業員をレイオフし、レッドチームを廃止する方針であることを明らかにした。一体なぜそのような判断に至ったのか。
TP-Link製の複数ルーターに深刻な脆弱性　対象製品とユーザーへの影響は？
TP-Link製ルーターに影響する脆弱性CVE-2024-53375が見つかった。この脆弱性を悪用するとリモートコード実行が可能になるため、早急に対処が必要だ。影響を受けるルーター製品を確認してほしい。