Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Tomcat」にあらたな脆弱性 - 脆弱性の修正に起因

「Apache Tomcat」に権限昇格が生じる脆弱性「CVE-2022-23181」が明らかとなった。

同脆弱性は、「CVE-2020-9484」の修正により生じた「TOCTOU(Time-of-check Time-of-use)」競合状態による脆弱性。「FileStore」を利用してセッションを永続化を行っている場合にのみ影響を受けるという。

開発チームへ2021年12月10日に脆弱性の報告があり、1月20日にリリースされた「Apache Tomcat 10.1.0-M10」「同10.0.16」「同9.0.58」「同8.5.75」にて修正。1月26日に脆弱性が公表された。

脆弱性の公表を受けて、JVNにおいても同脆弱性について注意喚起が行われており、アップデートが呼びかけられている。

(Security NEXT - 2022/01/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

金融庁を名乗るフィッシング - 「法令でカードの認証が必要」とだます手口
最新技術が詰まったInteropの「ShowNet」を解説するオンラインイベント
「JPAAWG 5th General Meeting」、11月にハイブリッド開催
アクセ通販サイトでクレカ情報流出の可能性 - 再開時は旧顧客リストを使用せず
Zohoのアクセス管理製品にあらたな脆弱性 - 6月判明の脆弱性はすでに攻撃対象
メール送信時に講演会申込者のメアドが流出 - 佐伯市
労働力調査の対象世帯リストを一時紛失 - 奈良県
「サイバーセキュリティ」認知度5割届かず - 3割弱が対策未実施
AWSのセキュリティ設定を網羅的に診断するサービス - NTT-AT
顧客情報記載した書類の紛失や誤廃棄が判明 - めぶきカード