公開日:2020/07/15 最終更新日:2020/07/20

JVNVU#96390265
Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性

概要

The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。

影響を受けるシステム

  • Apache Tomcat 10.0.0-M1 から 10.0.0-M6 まで
  • Apache Tomcat 9.0.0.M1 から 9.0.36 まで
  • Apache Tomcat 8.5.0 から 8.5.56 まで
  • Apache Tomcat 7.0.27 から 7.0.104 まで

詳細情報

The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。

  • h2c direct connection における HTTP/2 へのアップグレード処理において、HTTP/1.1 を扱うオブジェクトを破棄しないためヒープを過剰に消費する - CVE-2020-13934
  • WebSocket フレームのペイロード長が適切に検証されない - CVE-2020-13935

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。
  • 遠隔の第三者から、h2c direct connection による HTTP/2 へのアップグレードの要求が大量に行われると、OutOfMemoryException が発生しサービス運用妨害 (DoS) 状態になる - CVE-2020-13934
  • 遠隔の第三者から無効なペイロード長の通信が行われると、無限ループが発生しサービス運用妨害 (DoS) 状態になる - CVE-2020-13935

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

  • Apache Tomcat 10.0.0-M7
  • Apache Tomcat 9.0.37
  • Apache Tomcat 8.5.57
  • Apache Tomcat 7.0.105

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-13934
CVE-2020-13935
JVN iPedia

更新履歴

2020/07/20
【影響を受けるシステム】の誤植を修正しました