「Apache Tomcat」にアップデート - 脆弱性4件を修正
「Apache Tomcat」の開発チームは、現地時間10月10日に複数の脆弱性を解消するセキュリティアップデートをリリースした。
バージョンによって影響を受ける脆弱性は異なるが、「Apache Tomcat 10.1.14」「同9.0.81」「同8.5.94」をリリースし、あわせて4件の脆弱性を修正している。
具体的には「HTTP Trailer header」を正しく解析できず、リクエストスマグリング攻撃が可能となる脆弱性「CVE-2023-45648」や、内部オブジェクトの再利用にあたってエラーが生じ、情報漏洩が生じるおそれがある「CVE-2023-42795」に対応。「HTTP/2プロトコル」の処理にあたり、「ラピッドリセット攻撃」が可能となる脆弱性「CVE-2023-44487」を解消した。
さらに「同9.0系」「同8.5系」に関しては、実装されている「Apache Commons FileUpload」において、Windowsではアップロードファイルのストリームを閉じないため、ファイルの削除が行われず、ディスクを圧迫してサービス拒否が生じるおそれがある「CVE-2023-42794」にも対処している。
脆弱性の重要度については、「CVE-2023-45648」「CVE-2023-42795」「CVE-2023-44487」を4段階の評価において上から2番目にあたる「重要(Important)」とレーティング。「CVE-2023-44487」についてはもっとも低い「低(Low)」とした。
(Security NEXT - 2023/10/13 )
ツイート
PR
関連記事
「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起
小学校で個別書類あると気づかず身体測定結果を誤配布 - 名古屋市
個人情報含むファイルを県内自治体に誤送信 - 静岡県
廃棄物運搬事業者への事務連絡メールで誤送信 - 横須賀市
Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出
開発言語「R」のデシリアライズ処理に脆弱性 - 修正版へ更新を
保守委託先で顧客情報含むHDDが所在不明 - はばたき信組
サポート詐欺被害で情報流出の可能性 - 高齢・障害・求職者雇用支援機構
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加
