平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apache Tomcatにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNVU#94243578
Apache TomcatにおけるWebSocket接続の実装に関する問題
概要
Apache Tomcatには、WebSocket接続の実装に起因する、データが誤った用途に利用される問題が存在します。
影響を受けるシステム
- Apache Tomcat 9.0.0.M1から9.0.20までのバージョン
- Apache Tomcat 8.5.0から8.5.75までのバージョン
詳細情報
WebアプリケーションにWebSocket接続のクローズと同時にWebSocketメッセージを送信した場合、アプリケーションは、ソケットが閉じられた後もソケットを使用し続ける可能性があります(CVE-2022-25762)。
これにより、後続のWebSocket接続が同一のWebSocketオブジェクトを同時に使用してしまい、データが誤って返答されたり他のエラーが発生する可能性があります。
想定される影響
WebSocket接続のクローズと同時にWebSocketメッセージを送信されることで、予期せぬエラーが発生し、セキュリティ上の問題が引き起こされる可能性があります。
対策方法
アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
- Apache Tomcat 9.0.21 およびそれ以降
- Apache Tomcat 8.5.76 およびそれ以降
ベンダ情報
備考
最終更新日 2022.05.18
