公開日:2021/01/15 最終更新日:2022/12/13

JVNVU#96136392
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

概要

Apache Tomcat には、Java API の実装不備に起因する情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
  • Apache Tomcat 9.0.0.M1 から 9.0.39 まで
  • Apache Tomcat 8.5.0 から 8.5.59 まで
  • Apache Tomcat 7.0.0 から 7.0.106 まで

詳細情報

The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。

  • JSPのソースコードの漏えい - CVE-2021-24122
Java API  File.getCanonicalPath() の予期しない動作に起因した情報漏えいの脆弱性が存在します。NTFSファイルシステムを利用したシステム構成で、ネットワーク上にリソースを提供する場合、セキュリティの制約を回避することが可能です。またシステム構成に依存して JSP のソースコードが表示される場合があります。

想定される影響

JSP のソースコードを表示され、機微な情報を窃取される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

  • Apache Tomcat 10.0.0-M10
  • Apache Tomcat 9.0.40
  • Apache Tomcat 8.5.60
  • Apache Tomcat 7.0.107

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2021/09/15
日本電気株式会社 該当製品あり 2022/12/12
ベンダ リンク
Apache Software Foundation CVE-2021-24122 Apache Tomcat Information Disclosure
Fixed in Apache Tomcat 10.0.0-M10
Fixed in Apache Tomcat 9.0.40
Fixed in Apache Tomcat 8.5.60
Fixed in Apache Tomcat 7.0.107

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-24122
JVN iPedia

更新履歴

2021/09/15
BizMobile株式会社のベンダステータスが更新されました
2022/12/13
日本電気株式会社のベンダステータスが更新されました