JPCERT-AT-2020-0024
JPCERT/CC
2020-05-21(新規)
2021-03-02(更新)
脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。
Apache Software Foundation
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
- Apache Tomcat 10.0.0-M1 から 10.0.0-M4
- Apache Tomcat 9.0.0.M1 から 9.0.34
- Apache Tomcat 8.5.0 から 8.5.54
- Apache Tomcat 7.0.0 から 7.0.103
本脆弱性については、FileStore を用いた PersistentManager がサーバで使用されており、PersistentManager の sessionAttributeValueClassNameFilter の設定が null あるいは不十分な状況で、影響を受ける可能性があります。
- Apache Tomcat 10.0.0-M5
- Apache Tomcat 9.0.35
- Apache Tomcat 8.5.55
- Apache Tomcat 7.0.104
- PersistentManager において sessionAttributeValueClassNameFilter の値を適切に設定し、アプリケーションが提供する attribute だけがシリアライズおよびデシリアライズされるようにする
Apache Software Foundation
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M5
https://tomcat.apache.org/security-10.html
Apache Software Foundation
Fixed in Apache Tomcat 9.0.35
https://tomcat.apache.org/security-9.html
Apache Software Foundation
Fixed in Apache Tomcat 8.5.55
https://tomcat.apache.org/security-8.html
Apache Software Foundation
Fixed in Apache Tomcat 7.0.104
https://tomcat.apache.org/security-7.html
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
2020-05-26 「IV. 回避策」の修正
2021-03-02 「I.概要」「II. 対象」「III. 対策」「V. 参考情報」の追記
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT/CC
2020-05-21(新規)
2021-03-02(更新)
I. 概要
Apache Software Foundation は、2020年5月20日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-9484) に関する情報を公開しました。脆弱性を悪用されると、デシリアライズ対象データの検証が適切に行われていないことに起因して、遠隔の第三者が、サーバ上に管理可能なファイルを配置することができる場合に、任意のコードを実行する可能性があります。脆弱性の詳細については、Apache Software Foundation からの情報を参照してください。
Apache Software Foundation
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
更新: 2021年3月2日追記
Apache Software Foundationは、2021年3月1日(米国時間)に、Apache Tomcatの脆弱性(CVE-2021-25329)に関する情報を公開しました。一般的に利用されないまれな構成において、CVE-2020-9484の修正が不十分であったため、CVE-2021-25329として新規採番し、修正が行われました。
脆弱性の詳細については、Apache Software Foundationからの情報を参照してください。
Apache Software Foundation
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence)
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E
脆弱性の詳細については、Apache Software Foundationからの情報を参照してください。
Apache Software Foundation
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence)
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E
II. 対象
次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。- Apache Tomcat 10.0.0-M1 から 10.0.0-M4
- Apache Tomcat 9.0.0.M1 から 9.0.34
- Apache Tomcat 8.5.0 から 8.5.54
- Apache Tomcat 7.0.0 から 7.0.103
更新: 2021年3月2日追記
次のバージョンが脆弱性(CVE-2021-25329)の影響を受けます。
- Apache Tomcat 10.0.0-M1 から 10.0.0
- Apache Tomcat 9.0.0.M1 から 9.0.41
- Apache Tomcat 8.5.0 から 8.5.61
- Apache Tomcat 7.0.0 から 7.0.107
- Apache Tomcat 10.0.0-M1 から 10.0.0
- Apache Tomcat 9.0.0.M1 から 9.0.41
- Apache Tomcat 8.5.0 から 8.5.61
- Apache Tomcat 7.0.0 から 7.0.107
本脆弱性については、FileStore を用いた PersistentManager がサーバで使用されており、PersistentManager の sessionAttributeValueClassNameFilter の設定が null あるいは不十分な状況で、影響を受ける可能性があります。
III. 対策
Apache Software Foundation より、修正済みのバージョンが提供されています。修正済みのバージョンを適用することをご検討ください。- Apache Tomcat 10.0.0-M5
- Apache Tomcat 9.0.35
- Apache Tomcat 8.5.55
- Apache Tomcat 7.0.104
更新: 2021年3月2日追記
脆弱性(CVE-2021-25329)について、Apache Software Foundationより次の修正済みのバージョンが提供されています。修正済みのバージョンを適用することをご検討ください。
- Apache Tomcat 10.0.2
- Apache Tomcat 9.0.43
- Apache Tomcat 8.5.63
- Apache Tomcat 7.0.108
- Apache Tomcat 10.0.2
- Apache Tomcat 9.0.43
- Apache Tomcat 8.5.63
- Apache Tomcat 7.0.108
IV. 回避策
アップデートの実施が難しい場合には、次の回避策の適用を検討してください。- PersistentManager において sessionAttributeValueClassNameFilter の値を適切に設定し、アプリケーションが提供する attribute だけがシリアライズおよびデシリアライズされるようにする
更新: 2020年5月26日追記
PersistenceManager の誤記を PersistentManager に修正しました。
V. 参考情報
Apache Software Foundation
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M5
https://tomcat.apache.org/security-10.html
Apache Software Foundation
Fixed in Apache Tomcat 9.0.35
https://tomcat.apache.org/security-9.html
Apache Software Foundation
Fixed in Apache Tomcat 8.5.55
https://tomcat.apache.org/security-8.html
Apache Software Foundation
Fixed in Apache Tomcat 7.0.104
https://tomcat.apache.org/security-7.html
更新: 2021年3月2日追記
Apache Software Foundation
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence)
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.2
Apache Software Foundation
Fixed in Apache Tomcat 9.0.43
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.43
Apache Software Foundation
Fixed in Apache Tomcat 8.5.63
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.63
Apache Software Foundation
Fixed in Apache Tomcat 7.0.108
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.108
CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence)
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.2
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.2
Apache Software Foundation
Fixed in Apache Tomcat 9.0.43
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.43
Apache Software Foundation
Fixed in Apache Tomcat 8.5.63
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.63
Apache Software Foundation
Fixed in Apache Tomcat 7.0.108
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.108
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
改訂履歴
2020-05-21 初版2020-05-26 「IV. 回避策」の修正
2021-03-02 「I.概要」「II. 対象」「III. 対策」「V. 参考情報」の追記
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp