公開日:2017/03/14 最終更新日:2017/03/14

JVNVU#94686945
Apache Tomcat に情報漏えいの脆弱性

概要

Apache Tomcat には、情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 9.0.0.M11 から 9.0.0.M15 まで
  • Apache Tomcat 8.5.7 から 8.5.9 まで
これらより前のバージョンは本脆弱性の影響を受けません。

詳細情報

Apache Tomcat には、同一接続における複数のリクエストの間で情報が漏洩する可能性があります。
リバースプロキシを使用したサーバ環境において、通信内容が他ユーザに漏洩する可能性があります。
本脆弱性は、Apache Tomcat のソースコードのリファクタリングの影響で発生したものです。

想定される影響

通信内容が漏えいする可能性があります。ただし、HTTP/2 および AJP による接続は本脆弱性の影響を受けません。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は本脆弱性の対策版として、次のバージョンをリリースしています。

  • Apache Tomcat 9.0.0.M17
  • Apache Tomcat 8.5.11

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-8747
JVN iPedia