AWS導入支援・クラウド運用代行 スカイアーチネットワークス

【重要】Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Apache Tomcatにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

概要

Apache Tomcat には、Java API の実装不備に起因する情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
  • Apache Tomcat 9.0.0.M1 から 9.0.39 まで
  • Apache Tomcat 8.5.0 から 8.5.59 まで
  • Apache Tomcat 7.0.0 から 7.0.106 まで

詳細情報

The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。

JSPのソースコードの漏えい – CVE-2021-24122
Java API File.getCanonicalPath() の予期しない動作に起因した情報漏えいの脆弱性が存在します。
NTFSファイルシステムを利用したシステム構成で、ネットワーク上にリソースを提供する場合、セキュリティの制約を回避することが可能です。またシステム構成に依存して JSP のソースコードが表示される場合があります。

想定される影響

JSP のソースコードを表示され、機微な情報を窃取される可能性があります。

対策方法

アップデートする

開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

  • Apache Tomcat 10.0.0-M10
  • Apache Tomcat 9.0.40
  • Apache Tomcat 8.5.60
  • Apache Tomcat 7.0.107

備考

最終更新日 2021.01.19

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers