-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0002
                                                             JPCERT/CC
                                                            2021-01-15

                  <<< JPCERT/CC Alert 2021-01-15 >>>

     Apache Tomcatの脆弱性（CVE-2021-24122）に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210002.html

I. 概要
2021年1月14日（米国時間）、Apache Software FoundationはApache Tomcatの
脆弱性（CVE-2021-24122）に関する情報を公開しました。NTFSファイルシステ
ムを利用しているシステム構成で、ネットワーク上にリソースを提供している
場合、Java APIのFile.getCanonicalPath()の予期しない動作により、結果と
してJSPのソースコードが漏えいするなどの可能性があります。

    Apache Software Foundation
    CVE-2021-24122 Apache Tomcat Information Disclosure
    https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E


II. 対象
対象となる製品とバージョンは次のとおりです。

  - Apache Tomcat 10.0.0-M1から10.0.0-M9
  - Apache Tomcat 9.0.0.M1から9.0.39
  - Apache Tomcat 8.5.0から8.5.59
  - Apache Tomcat 7.0.0から7.0.106


III. 対策
Apache Software Foundationより、本脆弱性を修正したバージョンが公開され
ています。修正済みバージョンの適用をご検討ください。なお、下記の修正バー
ジョンは、2020年11月に公開されています。

  - Apache Tomcat 10.0.0-M10
  - Apache Tomcat 9.0.40
  - Apache Tomcat 8.5.60
  - Apache Tomcat 7.0.107


IV. 参考情報
    Apache Software Foundation
    CVE-2021-24122 Apache Tomcat Information Disclosure
    https://lists.apache.org/thread.html/r1595889b083e05986f42b944dc43060d6b083022260b6ea64d2cec52%40%3Cannounce.tomcat.apache.org%3E
    
    Apache Software Foundation
    Fixed in Apache Tomcat 10.0.0-M10
    https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M10
    
    Apache Software Foundation
    Fixed in Apache Tomcat 9.0.40
    https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.40
    
    Apache Software Foundation
    Fixed in Apache Tomcat 8.5.60
    https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.60
    
    Apache Software Foundation
    Fixed in Apache Tomcat 7.0.107
    https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107
    
    Japan Vulnerability Notes JVNVU#96136392
    Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
    https://jvn.jp/vu/JVNVU96136392/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=59w9
-----END PGP SIGNATURE-----