「Apache Tomcat」にアップデート - 「CVE-2024-56337」に追加対策

「Apache Tomcat」の開発チームは、現地時間2025年3月5日から同月7日にかけてアップデート「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースした。

今回のアップデートでは、「CVE-2024-56337」への露出と保護のチェック機能を改善した。「CVE-2024-56337」は、競合状態によりアップロードされたファイルが「JSPファイル」として扱われるおそれがある「CVE-2024-50379」への対処が不十分だったことにより、あらたに生じた脆弱性。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.8」とし、重要度を「クリティカル（Critical）」と評価。開発チームでは、「Apache Tomcat 11.0.2」「同10.1.34」「同9.0.98」へアップデートするとともに、追加対応を講じるよう求めていた。

また以降のバージョンにおいて、構成状況のチェック機能を追加したほか、不具合の回避など、対策を講じてきたが、さらなる対策の強化を行った。

具体的には、必要な場合に限ってリフレクションを使用するよう抑制。さらにファイルシステムが大文字、小文字を区別するかどうかのチェック機能を削除し、動作の安定性を向上させたとしている。

くわえて今回のアップデートでは、クライアントが「TE」ヘッダーに「gzip」を指定した場合、「Content-Encoding」ではなく「Transfer-Encoding」を使用するように変更。「Windows」環境以外でもインストーラーを構築できるよう「makensis」のオプションを追加したとしている。

（Security NEXT - 2025/03/10 ） ツイート

PR

関連記事

「Active! mail」に深刻な脆弱性、すでに悪用も - 侵害確認方法を調査中
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
Dell「PowerScale OneFS」に深刻な脆弱性 - 乗っ取りリスクも
リモートアクセス製品「SonicWall SMA100」の既知脆弱性が標的に
「Chrome」に2件の脆弱性 - 重要度「クリティカル」も
「Omnissa UAG」にCORSバイパスの脆弱性 - アップデートを公開
Apple、「macOS Sequoia 15.4.1」をリリース - 脆弱性2件へ対処
ASUS製ルータの脆弱性、ベンダー発表以上に高リスク - 国内外で被害拡大
Apple、「iOS 18.4.1」「iPadOS 18.4.1」を公開 - ゼロデイ脆弱性を修正
「Apache Roller」にPW変更後もログインセッションが破棄されない脆弱性