JVNVU#98102314
Apache Tomcatにおける複数の脆弱性

The Apache Software Foundationが提供するApache Tomcatには、複数の脆弱性が存在します。

• Apache Tomcat 11.0.0-M1から11.0.1まで
• Apache Tomcat 10.1.0-M1から10.1.33まで
• Apache Tomcat 9.0.0.M1から9.0.97まで

The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。

• ケースセンシティブでないファイルシステムで、読み取り専用の初期化パラメーターreadonlyにfalseを設定し、初期設定のサーブレットが書き込み可能な場合、同一のファイルのロード中に同時に読み取りとアップロードを行うと、Tomcatのケースセンシティビティのチェックを回避する問題（CVE-2024-50379、CVE-2024-56337）
• 初期設定ではローカルホストのみアクセス可能なexamples Webアプリケーションにおいて、アップロードされるデータに制限を設けていない問題（CVE-2024-54677）

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• アップロードされたファイルがJSPとして取り扱われ、リモートでコードを実行される（CVE-2024-50379、CVE-2024-56337）
• サービス運用妨害（DoS）攻撃を受ける（CVE-2024-54677）

アップデートする
開発者が提供する情報をもとに、以下バージョンへアップデートしてください。

• Apache Tomcat 11.0.2およびそれ以降
• Apache Tomcat 10.1.34およびそれ以降
• Apache Tomcat 9.0.98およびそれ以降

• Java 8、Java 11およびJava 17で当該製品を使用する場合は、システムプロパティsun.io.useCanonCachesをfalseに設定してください