Apache Tomcatに「緊急」の新たな脆弱性 過去の不完全な対策に起因か:セキュリティニュースアラート
Apache TomcatにCVSS9.8と評価された新たな脆弱性が見つかった。過去に見つかった別の脆弱性への対策が不完全だった点に起因するとされている。ユーザーが取るべき対策とは。
Apache Software FoundationはOSS(オープンソースソフトウェア)のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に関する新たな脆弱(ぜいじゃく)性「CVE-2024-56337」を公表した。この脆弱性は過去に報告されたCVE-2024-50379の緩和策が不完全であったことに起因するという。
未解決の緩和策により新たな脆弱性が発生 ユーザーが取るべき対策は?
CVE-2024-56337は共通脆弱性評価システム(CVSS)3.1で9.8と評価され、「緊急」(Critical)に分類されており注意が必要だ。
この問題は、Apache Tomcatが大文字小文字の区別をしないファイルシステムで動作し、かつデフォルトサーブレットの書き込み機能が有効(readonly初期化パラメーターがfalse)に設定されている場合に発生する可能性がある。影響を受けるApache Tomcatのバージョンは、11.0.0-M1〜11.0.1、10.1.0-M1〜10.1.33、9.0.0.M1〜9.0.97までとされている。
CVE-2024-56337は、CVE-2024-50379への対策が特定の条件下で不完全であった点を突いたものであり、ファイルの存在チェック時と実際のファイル処理時の間に状態が変化することによって生じるTOCTOU(Time-of-Check to Time-of-Use)競合状態が根本原因となっている。CVE-2024-50379と同様にアップロードされたファイルが意図せずJSPとして処理され、リモートコード実行(RCE)につながる可能性がある。
ユーザーは次のいずれかの対策を講じる必要がある。
- Apache Tomcatをバージョン11.0.2、10.1.34、9.0.98以降にアップデートする
- Java 8または11を使用している場合は、システムプロパティsun.io.useCanonCachesを明示的にfalseに設定する(デフォルトはtrue)
- Java 17を使用している場合は、同プロパティが設定されていれば、falseであることを確認する(デフォルトはfalse)
- Java 21以降を使用している場合、追加設定は不要(該当プロパティとキャッシュ機構が削除されている)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加
Action1は2025年版「Software Vulnerability Ratings Report」を発表した。ソフトウェア脆弱性は2024年に前年比61%増加し、既知の悪用件数も96%増加したという。特にLinux関連の脆弱性は前年比で967%増加した。
NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?
NISTとCISAの研究員が脆弱性の悪用確率を評価する新指標「LEV」を提案した。LEVはEPSSやKEVの限界を補完し、悪用済みの可能性が高い脆弱性の早期特定を可能にするという。実際どのくらい信頼できるのだろうか。
何としても情報を届けたい 三井住友銀行の“ギリギリを攻めた注意喚起”
世の中には詐欺被害撲滅に向けた数多くのコンテンツが発信されていますが、この情報を本当に知ってほしい“被害者予備軍”の人には届いていない厳しい実態があります。今回は少々“過激”なやり方で情報を発信したある事例を紹介します。
「VPNではサイバー脅威に対抗できない」 では今後、採用すべき対策は?
VPNが攻撃の起点となるサイバー攻撃が相次ぐ中、VPNに替わって取り入れるべきセキュリティ対策は何か。Zscalerの提言を紹介する。