-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0045
                                                             JPCERT/CC
                                                            2020-12-04

                  <<< JPCERT/CC Alert 2020-12-04 >>>

     Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200045.html

I. 概要
Apache Software Foundation は、2020年12月3日 (米国時間) に Apache Tomcat
の脆弱性 (CVE-2020-17527) に関する情報を公開しました。Apache Tomcat で
は、HTTP/2 接続におけるコネクション内でのストリーム送受信の際に、前の
ストリームのリクエストヘッダー値が、それに続くストリームのリクエストヘッ
ダー値に再利用されてしまうことにより、他のストリームの情報が漏えいする
可能性があります。

    Apache Software Foundation
    CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up
    https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E


II. 対象
対象となる製品とバージョンは次のとおりです。

  - Apache Tomcat 10.0.0-M1 から 10.0.0-M9
  - Apache Tomcat 9.0.0.M1 から 9.0.39
  - Apache Tomcat 8.5.0 から 8.5.59


III. 対策
Apache Software Foundation より、修正済みのバージョンが提供されていま
す。修正済みのバージョンを適用することをご検討ください。

  - Apache Tomcat 10.0.0-M10
  - Apache Tomcat 9.0.40
  - Apache Tomcat 8.5.60


IV. 参考情報
    Apache Software Foundation
    CVE-2020-17527 Apache Tomcat HTTP/2 Request header mix-up
    https://lists.apache.org/thread.html/rce5ac9a40173651d540babce59f6f3825f12c6d4e886ba00823b11e5%40%3Cannounce.tomcat.apache.org%3E
    
    Apache Software Foundation
    Fixed in Apache Tomcat 10.0.0-M10
    https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
    
    Apache Software Foundation
    Fixed in Apache Tomcat 9.0.40
    https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
    
    Apache Software Foundation
    Fixed in Apache Tomcat 8.5.60
    https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
MAIL: ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=Oq95
-----END PGP SIGNATURE-----