Apache Tomcatがリモートコード実行の脆弱性およびDoS脆弱性を修正(CVE-2024-50379 、CVE-2024-54677)
Apache Tomcatがリモートコード実行の脆弱性およびDoS脆弱性に対する修正をリリースしました。(CVE-2024-50379 、CVE-2024-54677)
脆弱性:CVE-2024-50379
- 重大度: 高(CVSSスコア「重要」)
- 内容:
- デフォルトサーブレットの設定ミスを悪用し、攻撃者が大文字小文字を区別しないファイルシステムに悪意のあるファイルをアップロード可能。
- 最終的にリモートコード実行(RCE)が発生する恐れ。
脆弱性:CVE-2024-54677
- 重大度: 中(CVSSスコア「低」)
- 内容:
- 「examples」WebアプリケーションにおけるOutOfMemoryErrorを誘発する欠陥。
- 過剰なデータアップロードにより、サーバーのクラッシュやサービス中断が引き起こされる可能性。
影響を受けるバージョン
- Apache Tomcat 11.0.0-M1 ~ 11.0.1
- Apache Tomcat 10.1.0-M1 ~ 10.1.33
- Apache Tomcat 9.0.0-M1 ~ 9.0.97
対策
パッチがリリースされているので、最新版へ更新