ニュース
Apache TomcatにCVSS 9.8の深刻な脆弱性 リモートコード実行を可能にするリスク:セキュリティニュースアラート
Apache TomcatにCVSS v3.1のスコア値9.8、深刻度「緊急」(Critical)の脆弱性が見つかった。影響を受けるバージョンの利用者は、速やかに修正版へのアップデートを推奨されている。
Apache Software Foundationは2024年12月18日(現地時間)、OSS(オープンソースソフトウェア)のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に複数の脆弱(ぜいじゃく)性が存在することを発表した。
これらの脆弱性のうち一つは共通脆弱性評価システム(CVSS)v3.1のスコア値9.8、深刻度「緊急」(Critical)に分類されている。
Apache Tomcatにリモートコード実行の脆弱性 急ぎ対処を
指摘されている脆弱性は以下の通りだ。
- CVE-2024-54677: サービス運用妨害の脆弱性。標準で提供されるサンプルWebアプリケーションにサービス運用妨害につながる制御不能なリソース消費の欠陥がある。CVSS v3.1のスコア値5.3、深刻度「警告」(Medium)に分類されている
- CVE-2024-50379: リモートコード実行の脆弱性。Apache TomcatでのJSPコンパイル中に発生するTOCTOU競合状態の欠陥とされている。サーブレットに書き込みアクセスが許可されており、ファイルシステムが大文字と小文字を区別しない環境において悪用される可能性がある。この脆弱性はCVSS v3.1のスコア値9.8、深刻度「緊急」(Critical)に分類されている
脆弱性の影響を受けるApache Tomcatのバージョンは以下の通りだ。
- Apache Tomcat 11.0.0-M1から11.0.1までのバージョン
- Apache Tomcat 10.1.0-M1から10.1.33までのバージョン
- Apache Tomcat 9.0.0.M1から9.0.97までのバージョン
脆弱性が修正されたApache Tomcatのバージョンは以下の通りだ。
- Apache Tomcat 11.0.2およびこれ以降のバージョン
- Apache Tomcat 10.1.34およびこれ以降のバージョン
- Apache Tomcat 9.0.98およびこれ以降のバージョン
脆弱性を抱えるソリューションの継続的な利用はセキュリティ上の重大なリスクとなる。Apache Tomcatを使用している場合、速やかにアップデートを適用することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ChatGPTは犯罪者たちの“良き相棒”に ダークWebで観測した生成AIの悪用事例8選
生成AIを悪用したサイバー犯罪は既に現実のものとなっている。では攻撃者はこれをどのように悪用するのか。本稿はダークWebで観測した具体的な8つの悪用事例を解説するとともに、今後起き得る13のAIリスクについても紹介する。
Azureの多要素認証に重大な脆弱性 4億以上のMicrosoft 365アカウントに影響か
Oasis SecurityはMicrosoft Azureの多要素認証に回避可能な脆弱性が存在すると報告した。この問題は4億以上のMicrosoft 365アカウントに影響を及ぼす可能性がある。
Yahooがセキュリティチームの従業員を大量レイオフ レッドチームも解散へ
Cybersecurity NewsはYahooがサイバーセキュリティチーム「Paranoids」の従業員をレイオフし、レッドチームを廃止する方針であることを明らかにした。一体なぜそのような判断に至ったのか。
TP-Link製の複数ルーターに深刻な脆弱性 対象製品とユーザーへの影響は?
TP-Link製ルーターに影響する脆弱性CVE-2024-53375が見つかった。この脆弱性を悪用するとリモートコード実行が可能になるため、早急に対処が必要だ。影響を受けるルーター製品を確認してほしい。