公開日:2022/09/30 最終更新日:2023/01/04

JVNVU#98868043
Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

概要

Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン
  • Apache Tomcat 10.0.0-M1から10.0.18までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.60までのバージョン
  • Apache Tomcat 8.5.0から8.5.77までのバージョン

詳細情報

The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。

  • Http11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 (CWE-362) - CVE-2021-43980
Tomcat 10で導入し、Tomcat 9.0.47以降にバックポートされた、ブロッキング処理の簡素化実装によって生じた脆弱性とのことです。

想定される影響

複数のクライアントから接続された場合、Http11Processorのインスタンスを共有していることに起因して、レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。

  • Apache Tomcat 10.1.0-M14およびそれ以降のバージョン
  • Apache Tomcat 10.0.20およびそれ以降のバージョン
  • Apache Tomcat 9.0.62およびそれ以降のバージョン
  • Apache Tomcat 8.5.78およびそれ以降のバージョン

ベンダ情報

ベンダ リンク
The Apache Software Foundation [SECURITY] CVE-2021-43980 Apache Tomcat - Information Disclosure
Fixed in Apache Tomcat 10.1.0-M14
Fixed in Apache Tomcat 10.0.20
Fixed in Apache Tomcat 9.0.62
Fixed in Apache Tomcat 8.5.78

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/09/30
[詳細情報]、[想定される影響]を修正しました
2023/01/04
[対策方法]の誤字を修正しました