Apache Tomcatにサービス運用妨害(DoS)の脆弱性、更新を - JPCERT/CC
マイナビニュース2024年3月18日(月)10時23分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月14日、「JVNVU#99626420: Apache Tomcatにおける複数のサービス運用妨害(DoS)の脆弱性」において、Apache Tomcatに複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)の攻撃を受ける可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
[SECURITY] CVE-2024-23672 Apache Tomcat - Denial of Service-Apache Mail Archives
[SECURITY] CVE-2024-24549 Apache Tomcat - Denial of Service-Apache Mail Archives
Apache Tomcat - Apache Tomcat 11 vulnerabilities
Apache Tomcat - Apache Tomcat 10 vulnerabilities
Apache Tomcat - Apache Tomcat 9 vulnerabilities
Apache Tomcat - Apache Tomcat 8 vulnerabilities
修正された脆弱性(CVE)の情報は次のとおり。
CVE-2024-23672 - 不完全なクリーンアップによるサービス拒否の脆弱性
CVE-2024-24549 - HTTP/2リクエストの不適切な入力検証の脆弱性
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
Apache Tomcat 11.0.0-M1から11.0.0-M16までのバージョン
Apache Tomcat 10.1.0-M1から10.1.18までのバージョン
Apache Tomcat 9.0.0-M1から9.0.85までのバージョン
Apache Tomcat 8.5.0から8.5.98までのバージョン
○脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
Apache Tomcat 11.0.0-M17およびこれ以降のバージョン
Apache Tomcat 10.1.19およびこれ以降のバージョン
Apache Tomcat 9.0.86およびこれ以降のバージョン
Apache Tomcat 8.5.99およびこれ以降のバージョン
JPCERT/CCは、開発者の提供する情報に基づきアップデートを適用することを推奨している。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
[SECURITY] CVE-2024-23672 Apache Tomcat - Denial of Service-Apache Mail Archives
[SECURITY] CVE-2024-24549 Apache Tomcat - Denial of Service-Apache Mail Archives
Apache Tomcat - Apache Tomcat 11 vulnerabilities
Apache Tomcat - Apache Tomcat 10 vulnerabilities
Apache Tomcat - Apache Tomcat 9 vulnerabilities
Apache Tomcat - Apache Tomcat 8 vulnerabilities
修正された脆弱性(CVE)の情報は次のとおり。
CVE-2024-23672 - 不完全なクリーンアップによるサービス拒否の脆弱性
CVE-2024-24549 - HTTP/2リクエストの不適切な入力検証の脆弱性
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
Apache Tomcat 11.0.0-M1から11.0.0-M16までのバージョン
Apache Tomcat 10.1.0-M1から10.1.18までのバージョン
Apache Tomcat 9.0.0-M1から9.0.85までのバージョン
Apache Tomcat 8.5.0から8.5.98までのバージョン
○脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
Apache Tomcat 11.0.0-M17およびこれ以降のバージョン
Apache Tomcat 10.1.19およびこれ以降のバージョン
Apache Tomcat 9.0.86およびこれ以降のバージョン
Apache Tomcat 8.5.99およびこれ以降のバージョン
JPCERT/CCは、開発者の提供する情報に基づきアップデートを適用することを推奨している。
「脆弱性」をもっと詳しく
「脆弱性」のニュース
-
Wizとの提携により、クラウドのリスク低減と、クラウドの脆弱性管理の自動化・強化を実現5月10日14時46分
-
WordPressの人気プラグイン「LiteSpeed Cache」がサイバー攻撃の標的、確認を5月10日8時34分
-
【セミナー情報】「脆弱性診断ガイド」リリース&解説セミナー開催決定5月9日18時46分
-
IDCフロンティア、小・中規模のWebサイト向けに純国産ホスト型WAF「SiteGuard Server Edition」を提供開始5月9日17時46分
-
XiaomiのAndroidデバイスに20件の脆弱性、アップデートを5月9日15時47分
-
【5月28日開催】Webアプリケーションの脆弱性を狙ったサイバー攻撃で疲弊しない「WAF・SOC運用」を実現するには? 〜SOC導入により高度なセキュリティ対策を実践する企業の運用事例を踏まえて解説〜5月9日13時46分
-
軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性5月9日12時31分
-
オムロン ソフトウェアがSBOMを活用した脆弱性管理のため「yamory」を導入5月9日11時16分
-
『WAFだけでは解決しない、Webの脆弱性対策』というテーマのウェビナーを開催5月9日10時46分
-
中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性 攻撃対象は“10億人規模”と試算5月9日8時5分