「Apache Tomcat」にアップデート - 「CVE-2024-56337」に追加対策

「Apache Tomcat」の開発チームは、現地時間2025年3月5日から同月7日にかけてアップデート「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースした。

今回のアップデートでは、「CVE-2024-56337」への露出と保護のチェック機能を改善した。「CVE-2024-56337」は、競合状態によりアップロードされたファイルが「JSPファイル」として扱われるおそれがある「CVE-2024-50379」への対処が不十分だったことにより、あらたに生じた脆弱性。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.8」とし、重要度を「クリティカル（Critical）」と評価。開発チームでは、「Apache Tomcat 11.0.2」「同10.1.34」「同9.0.98」へアップデートするとともに、追加対応を講じるよう求めていた。

また以降のバージョンにおいて、構成状況のチェック機能を追加したほか、不具合の回避など、対策を講じてきたが、さらなる対策の強化を行った。

具体的には、必要な場合に限ってリフレクションを使用するよう抑制。さらにファイルシステムが大文字、小文字を区別するかどうかのチェック機能を削除し、動作の安定性を向上させたとしている。

くわえて今回のアップデートでは、クライアントが「TE」ヘッダーに「gzip」を指定した場合、「Content-Encoding」ではなく「Transfer-Encoding」を使用するように変更。「Windows」環境以外でもインストーラーを構築できるよう「makensis」のオプションを追加したとしている。

（Security NEXT - 2025/03/10 ） ツイート

PR

関連記事

Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
Adobe、複数製品にアップデート - 250件以上の脆弱性を解消
Pythonの「tarfile」モジュールに脆弱性 - クリティカルも
「M365 Copilot」に情報漏洩の深刻な脆弱性 - すでに修正済み