Apache Tomcatに「緊急」の新たな脆弱性 過去の不完全な対策に起因か：セキュリティニュースアラート

Apache TomcatにCVSS9.8と評価された新たな脆弱性が見つかった。過去に見つかった別の脆弱性への対策が不完全だった点に起因するとされている。ユーザーが取るべき対策とは。

[後藤大地，有限会社オングス]

　Apache Software FoundationはOSS（オープンソースソフトウェア）のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に関する新たな脆弱（ぜいじゃく）性「CVE-2024-56337」を公表した。この脆弱性は過去に報告されたCVE-2024-50379の緩和策が不完全であったことに起因するという。

未解決の緩和策により新たな脆弱性が発生　ユーザーが取るべき対策は？

　CVE-2024-56337は共通脆弱性評価システム（CVSS）3.1で9.8と評価され、「緊急」（Critical）に分類されており注意が必要だ。

　この問題は、Apache Tomcatが大文字小文字の区別をしないファイルシステムで動作し、かつデフォルトサーブレットの書き込み機能が有効（readonly初期化パラメーターがfalse）に設定されている場合に発生する可能性がある。影響を受けるApache Tomcatのバージョンは、11.0.0-M1〜11.0.1、10.1.0-M1〜10.1.33、9.0.0.M1〜9.0.97までとされている。

　CVE-2024-56337は、CVE-2024-50379への対策が特定の条件下で不完全であった点を突いたものであり、ファイルの存在チェック時と実際のファイル処理時の間に状態が変化することによって生じるTOCTOU（Time-of-Check to Time-of-Use）競合状態が根本原因となっている。CVE-2024-50379と同様にアップロードされたファイルが意図せずJSPとして処理され、リモートコード実行（RCE）につながる可能性がある。

　ユーザーは次のいずれかの対策を講じる必要がある。

• Apache Tomcatをバージョン11.0.2、10.1.34、9.0.98以降にアップデートする
• Java 8または11を使用している場合は、システムプロパティsun.io.useCanonCachesを明示的にfalseに設定する（デフォルトはtrue）
• Java 17を使用している場合は、同プロパティが設定されていれば、falseであることを確認する（デフォルトはfalse）
• Java 21以降を使用している場合、追加設定は不要（該当プロパティとキャッシュ機構が削除されている）