「Apache Tomcat」にアップデート - 「CVE-2024-56337」に追加対策

「Apache Tomcat」の開発チームは、現地時間2025年3月5日から同月7日にかけてアップデート「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースした。

今回のアップデートでは、「CVE-2024-56337」への露出と保護のチェック機能を改善した。「CVE-2024-56337」は、競合状態によりアップロードされたファイルが「JSPファイル」として扱われるおそれがある「CVE-2024-50379」への対処が不十分だったことにより、あらたに生じた脆弱性。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.8」とし、重要度を「クリティカル（Critical）」と評価。開発チームでは、「Apache Tomcat 11.0.2」「同10.1.34」「同9.0.98」へアップデートするとともに、追加対応を講じるよう求めていた。

また以降のバージョンにおいて、構成状況のチェック機能を追加したほか、不具合の回避など、対策を講じてきたが、さらなる対策の強化を行った。

具体的には、必要な場合に限ってリフレクションを使用するよう抑制。さらにファイルシステムが大文字、小文字を区別するかどうかのチェック機能を削除し、動作の安定性を向上させたとしている。

くわえて今回のアップデートでは、クライアントが「TE」ヘッダーに「gzip」を指定した場合、「Content-Encoding」ではなく「Transfer-Encoding」を使用するように変更。「Windows」環境以外でもインストーラーを構築できるよう「makensis」のオプションを追加したとしている。

（Security NEXT - 2025/03/10 ） ツイート

PR

関連記事

一部「SonicOS」のSSL VPNに脆弱性 - DoS攻撃のおそれ
「Chrome」にアップデート - セキュリティ関連の修正4件
「BentoML」に深刻な脆弱性 ─ ファイルアップロード処理に起因
SAML認証ライブラリ「Node-SAML」に再度深刻な脆弱性
「VMware vCenter」にDoS脆弱性 - アップデートをリリース
海外拠点を直接支援するセキュサービスを拡充 - KDDIとラック
「PowerDNS Recursor」にDNSキャッシュポイズニングの脆弱性
「Cisco ISE」「PaperCut NG/MF」の脆弱性狙う攻撃に注意
「Cisco ISE」の複数脆弱性を狙う攻撃が発生 - 早急に対処を
Bitnamiの一部「Helm Chart」に脆弱性 - 機密情報漏洩のおそれ