「Apache Tomcat」にアップデート - 「CVE-2024-56337」に追加対策

「Apache Tomcat」の開発チームは、現地時間2025年3月5日から同月7日にかけてアップデート「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースした。

今回のアップデートでは、「CVE-2024-56337」への露出と保護のチェック機能を改善した。「CVE-2024-56337」は、競合状態によりアップロードされたファイルが「JSPファイル」として扱われるおそれがある「CVE-2024-50379」への対処が不十分だったことにより、あらたに生じた脆弱性。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.8」とし、重要度を「クリティカル（Critical）」と評価。開発チームでは、「Apache Tomcat 11.0.2」「同10.1.34」「同9.0.98」へアップデートするとともに、追加対応を講じるよう求めていた。

また以降のバージョンにおいて、構成状況のチェック機能を追加したほか、不具合の回避など、対策を講じてきたが、さらなる対策の強化を行った。

具体的には、必要な場合に限ってリフレクションを使用するよう抑制。さらにファイルシステムが大文字、小文字を区別するかどうかのチェック機能を削除し、動作の安定性を向上させたとしている。

くわえて今回のアップデートでは、クライアントが「TE」ヘッダーに「gzip」を指定した場合、「Content-Encoding」ではなく「Transfer-Encoding」を使用するように変更。「Windows」環境以外でもインストーラーを構築できるよう「makensis」のオプションを追加したとしている。

（Security NEXT - 2025/03/10 ） ツイート

PR

関連記事

「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み