「Apache Tomcat」にアップデート - 「CVE-2024-56337」に追加対策

「Apache Tomcat」の開発チームは、現地時間2025年3月5日から同月7日にかけてアップデート「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースした。

今回のアップデートでは、「CVE-2024-56337」への露出と保護のチェック機能を改善した。「CVE-2024-56337」は、競合状態によりアップロードされたファイルが「JSPファイル」として扱われるおそれがある「CVE-2024-50379」への対処が不十分だったことにより、あらたに生じた脆弱性。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.8」とし、重要度を「クリティカル（Critical）」と評価。開発チームでは、「Apache Tomcat 11.0.2」「同10.1.34」「同9.0.98」へアップデートするとともに、追加対応を講じるよう求めていた。

また以降のバージョンにおいて、構成状況のチェック機能を追加したほか、不具合の回避など、対策を講じてきたが、さらなる対策の強化を行った。

具体的には、必要な場合に限ってリフレクションを使用するよう抑制。さらにファイルシステムが大文字、小文字を区別するかどうかのチェック機能を削除し、動作の安定性を向上させたとしている。

くわえて今回のアップデートでは、クライアントが「TE」ヘッダーに「gzip」を指定した場合、「Content-Encoding」ではなく「Transfer-Encoding」を使用するように変更。「Windows」環境以外でもインストーラーを構築できるよう「makensis」のオプションを追加したとしている。

（Security NEXT - 2025/03/10 ） ツイート

PR

関連記事

6月公表の「Splunk Enterprise」脆弱性、悪用を確認
FWやVPNの認証情報を攻撃者が大量保有 - 「FortiBleed」に要警戒
「nginx」に複数のクリティカル脆弱性 - 修正版が公開
「Splunk」向けのAI拡張ツールに複数の脆弱性
「Cisco ISE」にRCE脆弱性 - 端末の接続に影響するおそれも
「Chrome」が脆弱性33件を修正 - 「クリティカル」7件
「Cortex XSOAR」「XSIAM」向け「CommvaultSecurityIQ」連携に脆弱性
「Langflow」にRCE脆弱性 - フロー共有環境に影響
「Joomla」向け編集ツール「JCE」、脆弱性悪用に注意
「MariaDB」に複数脆弱性 - アップデートで修正