【注意喚起】Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起
Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起がありました。
Ⅰ. 概要
Apache Software Foundation は、2020年5月20日 (現地時間) に、Apache Tomcat の脆弱性(CVE-
2020-9484) に関する情報を公開しました。脆弱性を悪用されると、デシリアライズ対象データの
検証が適切に行われていないことに起因して、遠隔の第三者が、サーバ上に管理可能なファイルを
配置することができる場合に、任意のコードを実行する可能性があります。脆弱性の詳細については、
Apache Software Foundation からの情報を参照してください。
Apache Software Foundation
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
** 更新: 2021年3月2日追記 ********************************************
Apache Software Foundationは、2021年3月1日(米国時間)に、Apache Tomcatの脆弱性(CVE-
2021-25329)に関する情報を公開しました。一般的に利用されないまれな構成において、CVE-
2020-9484の修正が不十分であったため、CVE-2021-25329として新規採番し、修正が行われました。
脆弱性の詳細については、Apache Software Foundationからの情報を参照してください。
Apache Software Foundation
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence)
***********************************************************************
Ⅱ. 対象
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。
- Apache Tomcat 10.0.0-M1 から 10.0.0-M4
- Apache Tomcat 9.0.0.M1 から 9.0.34
- Apache Tomcat 8.5.0 から 8.5.54
- Apache Tomcat 7.0.0 から 7.0.103
** 更新: 2021年3月2日追記 ********************************************
次のバージョンが脆弱性(CVE-2021-25329)の影響を受けます。
- Apache Tomcat 10.0.0-M1 から 10.0.0
- Apache Tomcat 9.0.0.M1 から 9.0.41
- Apache Tomcat 8.5.0 から 8.5.61
- Apache Tomcat 7.0.0 から 7.0.107
***********************************************************************
本脆弱性については、FileStore を用いた PersistentManager がサーバで使用されており、
PersistentManager の sessionAttributeValueClassNameFilter の設定が null あるいは
不十分な状況で、影響を受ける可能性があります。
III. 対策
Apache Software Foundation より、修正済みのバージョンが提供されています。修正済みの
バージョンを適用することをご検討ください。
- Apache Tomcat 10.0.0-M5
- Apache Tomcat 9.0.35
- Apache Tomcat 8.5.55
- Apache Tomcat 7.0.104
** 更新: 2021年3月2日追記 ********************************************
脆弱性(CVE-2021-25329)について、Apache Software Foundationより次の修正済みの
バージョンが提供されています。修正済みのバージョンを適用することをご検討ください。
- Apache Tomcat 10.0.2
- Apache Tomcat 9.0.43
- Apache Tomcat 8.5.63
- Apache Tomcat 7.0.108
***********************************************************************
Ⅳ. 回避策
アップデートの実施が難しい場合には、次の回避策の適用を検討してください。
- PersistentManager において sessionAttributeValueClassNameFilter の値を適切に設定し、
アプリケーションが提供する attribute だけがシリアライズおよびデシリアライズされるようにする。
** 更新: 2020年5月26日追記 ********************************************
PersistenceManager の誤記を PersistentManager に修正しました。
***********************************************************************
Ⅴ. 参考情報
Apache Software Foundation
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M5
Apache Software Foundation
Fixed in Apache Tomcat 9.0.35
Apache Software Foundation
Fixed in Apache Tomcat 8.5.55
Apache Software Foundation
Fixed in Apache Tomcat 7.0.104
** 更新: 2021年3月2日追記 ********************************************
Apache Software Foundation
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence)
Apache Software Foundation
Fixed in Apache Tomcat 10.0.2
Apache Software Foundation
Fixed in Apache Tomcat 9.0.43
Apache Software Foundation
Fixed in Apache Tomcat 8.5.63
Apache Software Foundation
Fixed in Apache Tomcat 7.0.108
***********************************************************************
________
改訂履歴
2020-05-21 初版
2020-05-26 「Ⅳ. 回避策」の修正
2021-03-02 「Ⅰ. 概要」「Ⅱ. 対象」「Ⅲ. 対策」「Ⅴ. 参考情報」の追記
