「Apache Tomcat」にRCEや情報漏洩のおそれ - 2月の更新で修正済み
「Apache Tomcat」の開発チームは、先のアップデートで脆弱性「CVE-2025-24813」を解消していたことを明らかにした。
開発チームでは、現地時間2025年3月10日にアドバイザリをリリースし、HTTPの「PUTメソッド」によりファイルの一部のみを更新する「partial PUT」の処理における脆弱性「CVE-2025-24813」について明らかにしたもの。
テンポラリファイルを作成する処理に問題があり、特定の条件下で信頼できないデータのデシリアライズや競合状態によって機密ファイルの漏洩や改ざんが可能となるほか、リモートからのコードを実行されるおそれがある。
開発チームは、同脆弱性の重要度を4段階中、2番目に高い「重要(Important)」と評価。現地時間2月10日にリリースした「Apache Tomcat 11.0.3」「同10.1.35」「同9.0.99」で同脆弱性を修正済みとしている。
また3月に入り、「CVE-2024-56337」への露出と保護のチェック機能を改善した最新版「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースしている。
(Security NEXT - 2025/03/11 )
ツイート
PR
関連記事
「Chrome」アップデート、クリティカル含む脆弱性26件を修正
「Oracle Fusion Middleware」に深刻なRCE脆弱性 - 早急に対応を
CiscoやAppleなど脆弱性6件を悪用リストに追加 - 米当局
3月初旬修正の「Cisco Secure FMC」脆弱性が攻撃対象に
「SharePoint」「Zimbra」の脆弱性悪用に注意 - 米当局が注意喚起
ウェブメール「Roundcube」に複数脆弱性 - アップデートを公開
「Node.js」のセキュリティ更新、3月24日に公開予定
Oracleのエッジクラウド向けツールキットに深刻な脆弱性
「jsPDF」に複数脆弱性 - PDF生成時にスクリプト埋め込みのおそれ
「ScreenConnect」に暗号鍵不正取得のおそれがある脆弱性
