公開日:2021/07/13 最終更新日:2021/07/13

JVNVU#91880022
Apache Tomcatにおける複数の脆弱性

概要

Apache Tomcatには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-33037

  • Apache Tomcat 10.0.0-M1から10.0.6まで
  • Apache Tomcat 9.0.0.M1から9.0.46まで
  • Apache Tomcat 8.5.0から8.5.66まで
CVE-2021-30640
  • Apache Tomcat 10.0.0-M1から10.0.5まで
  • Apache Tomcat 9.0.0.M1から9.0.45まで
  • Apache Tomcat 8.5.0から8.5.65まで
  • Apache Tomcat 7.0.0から7.0.108まで
CVE-2021-30639
  • Apache Tomcat 10.0.3から10.0.4まで
  • Apache Tomcat 9.0.44
  • Apache Tomcat 8.5.64

詳細情報

当該製品には、次の複数の脆弱性が存在します。

  • HTTPリクエストスマグリング(CWE-444) - CVE-2021-33037
  • JNDI Realm認証不備(CWE-287) - CVE-2021-30640
  • ノンブロッキングI/Oにおけるエラー処理不備(CWE-388) - CVE-2021-30639

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。
  • JNDI Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。
  • ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害(DoS)状態が引き起こされる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

  • Apache Tomcat 10.0.7
  • Apache Tomcat 9.0.48
    • Apache Tomcat 9.0.47は影響を受けるシステムに含まれませんが、本脆弱性の対策版としてリリース投票に合格しなかったため、Apache Tomcat 9.0.48にアップデートする必要があります。
  • Apache Tomcat 8.5.68
    • Apache Tomcat 8.5.67は影響を受けるシステムに含まれませんが、本脆弱性の対策版としてリリース投票に合格しなかったため、Apache Tomcat 8.5.68にアップデートする必要があります。
  • Apache Tomcat 7.0.109

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia