-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2020-0024 JPCERT/CC 2020-05-21(新規) 2021-03-02(更新) <<< JPCERT/CC Alert 2020-05-21 >>> Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200024.html I. 概要 Apache Software Foundation は、2020年5月20日 (現地時間) に、Apache Tomcat の脆弱性 (CVE-2020-9484) に関する情報を公開しました。脆弱性を悪 用されると、デシリアライズ対象データの検証が適切に行われていないことに 起因して、遠隔の第三者が、サーバ上に管理可能なファイルを配置することが できる場合に、任意のコードを実行する可能性があります。 脆弱性の詳細については、Apache Software Foundation からの情報を参照し てください。 Apache Software Foundation CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E ** 更新: 2021年3月2日追記 ******************************************** Apache Software Foundationは、2021年3月1日(米国時間)に、Apache Tomcat の脆弱性(CVE-2021-25329)に関する情報を公開しました。一般的に利用され ないまれな構成において、CVE-2020-9484の修正が不十分であったため、 CVE-2021-25329として新規採番し、修正が行われました。 脆弱性の詳細については、Apache Software Foundationからの情報を参照し てください。 Apache Software Foundation CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence) https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E *********************************************************************** II. 対象 次のバージョンの Apache Tomcat が本脆弱性の影響を受けます。 - Apache Tomcat 10.0.0-M1 から 10.0.0-M4 - Apache Tomcat 9.0.0.M1 から 9.0.34 - Apache Tomcat 8.5.0 から 8.5.54 - Apache Tomcat 7.0.0 から 7.0.103 ** 更新: 2021年3月2日追記 ******************************************** 次のバージョンが脆弱性(CVE-2021-25329)の影響を受けます。 - Apache Tomcat 10.0.0-M1 から 10.0.0 - Apache Tomcat 9.0.0.M1 から 9.0.41 - Apache Tomcat 8.5.0 から 8.5.61 - Apache Tomcat 7.0.0 から 7.0.107 *********************************************************************** 本脆弱性については、FileStore を用いた PersistentManager がサーバで使 用されており、PersistentManager の sessionAttributeValueClassNameFilter の 設定が null あるいは不十分な状況で、影響を受ける可能性があります。 III. 対策 Apache Software Foundation より、修正済みのバージョンが提供されていま す。修正済みのバージョンを適用することをご検討ください。 - Apache Tomcat 10.0.0-M5 - Apache Tomcat 9.0.35 - Apache Tomcat 8.5.55 - Apache Tomcat 7.0.104 ** 更新: 2021年3月2日追記 ******************************************** 脆弱性(CVE-2021-25329)について、Apache Software Foundationより次の修 正済みのバージョンが提供されています。修正済みのバージョンを適用するこ とをご検討ください。 - Apache Tomcat 10.0.2 - Apache Tomcat 9.0.43 - Apache Tomcat 8.5.63 - Apache Tomcat 7.0.108 *********************************************************************** IV. 回避策 アップデートの実施が難しい場合には、次の回避策の適用を検討してください。 - PersistentManager において sessionAttributeValueClassNameFilter の値を適切に設定し、アプリケーションが提供する attribute だけがシリアライズおよびデシリアライズされるようにする ** 更新: 2020年5月26日追記 ******************************************** PersistenceManager の誤記を PersistentManager に修正しました。 *********************************************************************** V. 参考情報 Apache Software Foundation CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E Apache Software Foundation Fixed in Apache Tomcat 10.0.0-M5 https://tomcat.apache.org/security-10.html Apache Software Foundation Fixed in Apache Tomcat 9.0.35 https://tomcat.apache.org/security-9.html Apache Software Foundation Fixed in Apache Tomcat 8.5.55 https://tomcat.apache.org/security-8.html Apache Software Foundation Fixed in Apache Tomcat 7.0.104 https://tomcat.apache.org/security-7.html ** 更新: 2021年3月2日追記 ******************************************** Apache Software Foundation CVE-2021-25329 Incomplete fix for CVE-2020-9484 (RCE via session persistence) https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E Apache Software Foundation Fixed in Apache Tomcat 10.0.2 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.2 Apache Software Foundation Fixed in Apache Tomcat 9.0.43 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.43 Apache Software Foundation Fixed in Apache Tomcat 8.5.63 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.63 Apache Software Foundation Fixed in Apache Tomcat 7.0.108 https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.108 *********************************************************************** 今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。 ________ 改訂履歴 2020-05-21 初版 2020-05-26 「IV. 回避策」の修正 2021-03-02 「I.概要」「II. 対象」「III. 対策」「V. 参考情報」の追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) 早期警戒グループ Email: ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgPcWrAAoJEKntH+qu5CT/iSMP/iOH2LoQg4DUCK0HOAG1j9WZ zWFRaiRJqHedY1LmJXACTT2NZWujgl+25aYFEZlvschT9heHu6rcc6FWvo89t9yJ 9F8LwUbCidVg8ZamxH43/jK03MaAhaUxiKBhUk2A7UZVOF0CZSbfArF+rFxZawJl mJbXDtwuUblIycEi2raV9QjYw9oJoNKngaVBXPBTJ5viSavVv3xSKQNqvuuGztmT jaASkW6vuGo37n2TM/KeSSwvXW9zj5c7DZBXF7PPMuEP1BSH91zTlV3qQop0Rfsi /flG2ON+WVfTGmDJz1rGP5DwgVuBXmQd0FTd2PRNXfKn4bXYa2nu0qjbfOhrjgta i+KQZZ4I8N2TdH9fyC1o6oTsCWS5moMaiSTd2MEv2fMF1fZ4J/+wQwaomjJv8KY/ gr6IT4rAc5dGYlG+YsvHxeHYth+V/Pvh3i2Xh8f2YWGD21mrtnHSB2wjOJkdHAJo QJb6KeVfhziqlBL80xY8r7kQIqpoEG+O5jQNIC7yt8vFeWd/TqBR7bpbWAMEkO4d zWYMeQh7coZr420qNTJgzZ1893oK2JD06UGk8g4x6yBfL4imOWqCYhw8Kw44/7rq oV2IYnCFSn4yrVECKfZiPO9ylmHU5Ety5oVmbfxBtRvNi1L41kgd/D6JuItVfVUG h9HIrOAOGzt9NZgxLsIL =FRZR -----END PGP SIGNATURE-----