「Apache Tomcat」にRCEや情報漏洩のおそれ - 2月の更新で修正済み
「Apache Tomcat」の開発チームは、先のアップデートで脆弱性「CVE-2025-24813」を解消していたことを明らかにした。
開発チームでは、現地時間2025年3月10日にアドバイザリをリリースし、HTTPの「PUTメソッド」によりファイルの一部のみを更新する「partial PUT」の処理における脆弱性「CVE-2025-24813」について明らかにしたもの。
テンポラリファイルを作成する処理に問題があり、特定の条件下で信頼できないデータのデシリアライズや競合状態によって機密ファイルの漏洩や改ざんが可能となるほか、リモートからのコードを実行されるおそれがある。
開発チームは、同脆弱性の重要度を4段階中、2番目に高い「重要(Important)」と評価。現地時間2月10日にリリースした「Apache Tomcat 11.0.3」「同10.1.35」「同9.0.99」で同脆弱性を修正済みとしている。
また3月に入り、「CVE-2024-56337」への露出と保護のチェック機能を改善した最新版「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースしている。
(Security NEXT - 2025/03/11 )
ツイート
PR
関連記事
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明
地理空間データを活用する「GeoServer」の脆弱性攻撃に注意
Gitサーバ「Gogs」にゼロデイ脆弱性 - 広範囲の公開サーバに侵害痕跡
「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック
「Chrome」にゼロデイ脆弱性、詳細は調整中 - アップデートで修正
