公開日:2021/03/02 最終更新日:2022/12/13
JVNVU#97014415
Apache Tomcat に対するアップデート
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
CVE-2021-25329 および CVE-2021-25122
- Apache Tomcat 10.0.0-M1 から 10.0.0 まで
- Apache Tomcat 9.0.0.M1 から 9.0.41 まで
- Apache Tomcat 8.5.0 から 8.5.61 まで
- Apache Tomcat 7.0.0 から 7.0.107 まで
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
- 信頼できないデータのデシリアライズ (CWE-502) - CVE-2021-25329
- 本脆弱性は CVE-2020-9484 への対応が不十分であったため、あらためて修正されたものです
- h2c 接続リクエストに対するレスポンス生成の不備 - CVE-2021-25122
想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。
- デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者により任意のバイトコードを実行される - CVE-2021-25329
- 新たな h2c 接続リクエストに応答するとき、当該製品がリクエストのヘッダーおよびペイロードの一部を複製することに起因して、遠隔の第三者によって、他のユーザのリクエストに対する結果を参照される - CVE-2021-25122
アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
- Apache Tomcat 10.0.2 およびそれ以降
- Apache Tomcat 9.0.43 およびそれ以降
- Apache Tomcat 8.5.63 およびそれ以降
- Apache Tomcat 7.0.108 およびそれ以降
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2021-25122 |
|
CVE-2021-25329 |
|
| JVN iPedia |
|
- 2021/09/15
- BizMobile株式会社のベンダステータスが更新されました
- 2022/09/07
- 日本電気株式会社のベンダステータスが更新されました
- 2022/12/13
- 日本電気株式会社のベンダステータスが更新されました
