【注意喚起】Apache Tomcatの脆弱性(CVE-2021-24122)に関する注意喚起
Apache Tomcatの脆弱性(CVE-2021-24122)に関する注意喚起がありました。
I. 概要
2021年1月14日(米国時間)、Apache Software FoundationはApache Tomcatの
脆弱性(CVE-2021-24122)に関する情報を公開しました。NTFSファイルシステム
を利用しているシステム構成で、ネットワーク上にリソースを提供している場合、
Java APIのFile.getCanonicalPath()の予期しない動作により、結果としてJSPの
ソースコードが漏えいするなどの可能性があります。
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
II. 対象
対象となる製品とバージョンは次のとおりです。
- Apache Tomcat 10.0.0-M1から10.0.0-M9
- Apache Tomcat 9.0.0.M1から9.0.39
- Apache Tomcat 8.5.0から8.5.59
- Apache Tomcat 7.0.0から7.0.106
III. 対策
Apache Software Foundationより、本脆弱性を修正したバージョンが公開されています。
修正済みバージョンの適用をご検討ください。なお、下記の修正バージョンは、
2020年11月に公開されています。
- Apache Tomcat 10.0.0-M10
- Apache Tomcat 9.0.40
- Apache Tomcat 8.5.60
- Apache Tomcat 7.0.107
IV. 参考情報
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
Apache Software Foundation
Fixed in Apache Tomcat 7.0.107
Japan Vulnerability Notes JVNVU#96136392
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
