Apache Tomcatに複数の深刻な脆弱性 CVSS 9.8のものも含まれており注意：セキュリティニュースアラート

Apache Tomcatに複数の脆弱性が存在することが分かった。CVSSスコア9.8の脆弱性も見つかっているため、急ぎ対処が求められる。

[後藤大地，有限会社オングス]

　Apache Software Foundationは2024年11月18日（現地時間）、OSS（オープンソースソフトウェア）のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に複数の脆弱（ぜいじゃく）性が存在することを発表した。

　これらの脆弱性のうち1つの深刻度は共通脆弱性評価システム（CVSS）v3.1のスコア値9.8と評価され、「緊急」（Critical）に分類されている。

Apache Tomcatに複数の脆弱性が判明　深刻度「緊急」のものもあり注意

　指摘されている脆弱性は以下の通りだ。

• CVE-2024-52316：　認証バイパスの脆弱性。認証プロセス中にHTTPステータスを明示的に設定せずに例外をスローするようカスタムした「Jakarta Authentication ServerAuthContext」コンポーネントを使用している場合、認証が失敗しない可能性がある。この脆弱性は深刻度「緊急」と分析されている
• CVE-2024-52317：　不正オブジェクトの再利用に関する脆弱性。HTTP/2リクエストで使用されるリクエストとレスポンスの不正な再利用により、ユーザー間でリクエストやレスポンスが混在する可能性がある
• CVE-2024-52318：　クロスサイトスクリプティング（XSS）の脆弱性。修正により発生した脆弱性とされ、プールされたJSPタグが使用後に解放されずに一部のタグ出力が期待通りにエスケープされない可能性がある

　これらの脆弱性を修正したバージョンはリリース済みとされている。修正済みのプロダクトおよびバージョンは以下の通りだ。

• Apache Tomcat 11.0.1およびこれ以降のバージョン
• Apache Tomcat 10.1.32およびこれ以降のバージョン
• Apache Tomcat 9.0.97およびこれ以降のバージョン

　Apache Tomcatを使用している場合には速やかにアップデートを適用することが求められる。