Apache Tomcatのリモートコード実行の脆弱性 修正が不完全のため設定の見直しが必要：セキュリティニュースアラート

先日Apache Tomcatに見つかったリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全であることが判明した。影響を受けるバージョンの利用者には、速やかなアップデートと追加の設定見直しが必要になるため注意が必要だ。

[後藤大地，有限会社オングス]

　Apache Software Foundationは2024年12月21日（現地時間）、OSS（オープンソースソフトウェア）のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に脆弱（ぜいじゃく）性が存在することを発表した。これは先日公開されたリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全だったことを受けて、再修正されたものだ。

Apache Tomcatの修正が不完全　追加の緊急対応が必要になるため注意

　新しく発表された脆弱性は以下の通りだ。

• CVE-2024-56337：　Time-of-Check Time-of-Use（TOCTOU）レースコンディションの脆弱性。CVE-2024-50379の不完全な修正が原因。サーブレットに書き込みアクセスが許可されており、ファイルシステムが大文字と小文字を区別しない環境の場合、脆弱性を完全に修正するために追加の設定が必要になる

　CVE-2024-56337を修正した新しいバージョンはリリースされていない。そのため、影響を受けるユーザーはCVEの説明の通り、追加の設定で回避する必要がある。

　前回の脆弱性CVE-2024-50379の影響を受けるApache Tomcatのバージョンは以下の通りだ。

• Apache Tomcat 11.0.0-M1から11.0.1までのバージョン
• Apache Tomcat 10.1.0-M1から10.1.33までのバージョン
• Apache Tomcat 9.0.0.M1から9.0.97までのバージョン

　CVE-2024-50379が修正されたApache Tomcatのバージョンは以下の通りだ。

• Apache Tomcat 11.0.2およびこれ以降のバージョン
• Apache Tomcat 10.1.34およびこれ以降のバージョン
• Apache Tomcat 9.0.98およびこれ以降のバージョン

　新しい脆弱性を回避するためには、上記バージョンにアップデート後、Apache Tomcatで使用しているJavaのバージョンに応じて次の追加の設定が必要になる。

• Java 8またはJava 11：　システムプロパティ「sun.io.useCanonCaches」を明示的にfalseに設定する
• Java 17：　システムプロパティ「sun.io.useCanonCaches」が設定されている場合、falseに設定されていることを確認する
• Java 21以降：　追加の設定は不要

　本件については通常と異なる対応を求められるが、放置するとリモートコード実行などの重大な被害に遭う可能性がある。影響を受ける製品を利用している管理者には、速やかな対応が推奨されている。なお、次期リリース予定のApache Tomcat 11.0.3、10.1.35、9.0.99ではデフォルトで完全に修正される見込みとなっている。