JPCERT-AT-2021-0002
JPCERT/CC
2021-01-15
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E
- Apache Tomcat 10.0.0-M1から10.0.0-M9
- Apache Tomcat 9.0.0.M1から9.0.39
- Apache Tomcat 8.5.0から8.5.59
- Apache Tomcat 7.0.0から7.0.106
- Apache Tomcat 10.0.0-M10
- Apache Tomcat 9.0.40
- Apache Tomcat 8.5.60
- Apache Tomcat 7.0.107
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
Apache Software Foundation
Fixed in Apache Tomcat 7.0.107
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107
Japan Vulnerability Notes JVNVU#96136392
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU96136392/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-01-15
I. 概要
2021年1月14日(米国時間)、Apache Software FoundationはApache Tomcatの脆弱性(CVE-2021-24122)に関する情報を公開しました。NTFSファイルシステムを利用しているシステム構成で、ネットワーク上にリソースを提供している場合、Java APIのFile.getCanonicalPath()の予期しない動作により、結果としてJSPのソースコードが漏えいするなどの可能性があります。Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E
II. 対象
対象となる製品とバージョンは次のとおりです。- Apache Tomcat 10.0.0-M1から10.0.0-M9
- Apache Tomcat 9.0.0.M1から9.0.39
- Apache Tomcat 8.5.0から8.5.59
- Apache Tomcat 7.0.0から7.0.106
III. 対策
Apache Software Foundationより、本脆弱性を修正したバージョンが公開されています。修正済みバージョンの適用をご検討ください。なお、下記の修正バージョンは、2020年11月に公開されています。- Apache Tomcat 10.0.0-M10
- Apache Tomcat 9.0.40
- Apache Tomcat 8.5.60
- Apache Tomcat 7.0.107
IV. 参考情報
Apache Software Foundation
CVE-2021-24122 Apache Tomcat Information Disclosure
https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E
Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M10
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
Apache Software Foundation
Fixed in Apache Tomcat 9.0.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
Apache Software Foundation
Fixed in Apache Tomcat 8.5.60
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
Apache Software Foundation
Fixed in Apache Tomcat 7.0.107
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107
Japan Vulnerability Notes JVNVU#96136392
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU96136392/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp