Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Tomcat」に競合状態からコード実行が可能となる脆弱性

ウェブアプリケーションサーバ「Apache Tomcat」に複数の脆弱性が明らかとなった。アップデートで修正されている。

特定条件下においてリモートよりコードの実行が可能となる脆弱性「CVE-2024-50379」が判明したもの。開発チームでは、重要度を上から2番目にあたる「重要(Important)」とレーティングした。

負荷がかかった状態で同一ファイルに対する読み取りやアップロードの競合が生じた場合、チェック機能を回避され、アップロードされたファイルが「JSPファイル」として扱われるおそれがある。

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価、重要度を「クリティカル(Critical)」としている。

また例示用のサンプルアプリケーションにおけるサービス拒否の脆弱性「CVE-2024-54677」も同日報告された。開発チームでは重要度を「低(Low)」とする一方、米CISAはCVSS基本値を「5.3」、重要度を「中(Medium)」としている。

これら脆弱性は、現地時間12月9日にリリースされた「Apache Tomcat 11.0.2」「同10.1.34」「同9.0.98」で修正されており、同バージョン以降へアップデートするよう呼びかけられている。

(Security NEXT - 2024/12/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

イベント事業の再委託先でランサム被害や誤送信事故 - 郡山市
イベント応募フォーム掲載時に誤リンク、個人情報が流出 - 阿久比町
「研究者業績データベース」に不正アクセス - 中京大
「SecureAge Security Suite」に深刻な脆弱性 - アップデートを
ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性
「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
Xerox製印刷ワークフロー管理ソフトに複数の脆弱性
SonicWall製ファイアウォールに脆弱性 - 認証回避や権限昇格のおそれ
天気情報サイト「tenki.jp」にDDoS攻撃 - 断続的に障害
プラネックス製ルータ「MZK-DP300N」にXSS脆弱性