平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apache Tomcatにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
概要
Apache Tomcat には、 HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。
影響を受けるシステム
- Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
- Apache Tomcat 9.0.0.M1 から 9.0.37 まで
- Apache Tomcat 8.5.0 から 8.5.57 まで
詳細情報
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
HTTP/2 リクエストの取り違え – CVE-2020-13943
HTTP/2 クライアントが接続許可された最大同時ストリーム数を超えた場合、その接続における後続のリクエストにおいて、意図した HTTP ヘッダではなく、以前送信されたリクエストの HTTP ヘッダに置き換わる可能性があります。その結果、ユーザが予期しないリソースへの応答が表示される可能性があります。
想定される影響
遠隔の第三者によって細工された HTTP/2 リクエストを送信され、予期しないリソースへの応答が表示されることで、機微な情報が取得される可能性があります。
対策方法
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
Apache Tomcat 10.0.0-M8
Apache Tomcat 9.0.38
Apache Tomcat 8.5.58
備考
最終更新日 2020.10.16
