JVNVU#91880022
Apache Tomcatにおける複数の脆弱性

Apache Tomcatには、複数の脆弱性が存在します。

CVE-2021-33037

• Apache Tomcat 10.0.0-M1から10.0.6まで
• Apache Tomcat 9.0.0.M1から9.0.46まで
• Apache Tomcat 8.5.0から8.5.66まで

• Apache Tomcat 10.0.0-M1から10.0.5まで
• Apache Tomcat 9.0.0.M1から9.0.45まで
• Apache Tomcat 8.5.0から8.5.65まで
• Apache Tomcat 7.0.0から7.0.108まで

• Apache Tomcat 10.0.3から10.0.4まで
• Apache Tomcat 9.0.44
• Apache Tomcat 8.5.64

当該製品には、次の複数の脆弱性が存在します。

• HTTPリクエストスマグリング（CWE-444） - CVE-2021-33037
• JNDI Realm認証不備（CWE-287） - CVE-2021-30640
• ノンブロッキングI/Oにおけるエラー処理不備（CWE-388） - CVE-2021-30639

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• クライアントがHTTP/1.0レスポンスのみを指定している場合、transfer-encodingヘッダーは無視されるため不正なリクエスト送信される可能性があります。また、チャンク形式のエンコーディングである場合、エンコーディングの終端が正しく判定されない可能性があります。
• JNDI Realmによるクエリのパラメータを正しくエスケープしないため、ユーザーがユーザー名などに不正なパラメータ値を使用して認証したり、ロックアウト機能をバイパスしたりする可能性があります。
• ユーザーがノンブロッキングI/Oエラーを発生させ、接続を切断することで、サービス運用妨害（DoS）状態が引き起こされる可能性があります。

アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

• Apache Tomcat 10.0.7
• Apache Tomcat 9.0.48
  • Apache Tomcat 9.0.47は影響を受けるシステムに含まれませんが、本脆弱性の対策版としてリリース投票に合格しなかったため、Apache Tomcat 9.0.48にアップデートする必要があります。
• Apache Tomcat 8.5.68
  • Apache Tomcat 8.5.67は影響を受けるシステムに含まれませんが、本脆弱性の対策版としてリリース投票に合格しなかったため、Apache Tomcat 8.5.68にアップデートする必要があります。
• Apache Tomcat 7.0.109