JVNDB-2020-009052
|
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
|
|
Apache Tomcat には、 HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
* HTTP/2 リクエストの取り違え - CVE-2020-13943
HTTP/2 クライアントが接続許可された最大同時ストリーム数を超えた場合、その接続における後続のリクエストにおいて、意図した HTTP ヘッダではなく、以前送信されたリクエストの HTTP ヘッダに置き換わる可能性があります。その結果、ユーザが予期しないリソースへの応答が表示される可能性があります。
|
|
CVSS v3 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
- Apache Tomcat 9.0.0.M1 から 9.0.37 まで
- Apache Tomcat 8.5.0 から 8.5.57 まで
|
|
|
遠隔の第三者によって細工された HTTP/2 リクエストを送信され、予期しないリソースへの応答が表示されることで、機微な情報が取得される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
* Apache Tomcat 10.0.0-M8
* Apache Tomcat 9.0.38
* Apache Tomcat 8.5.58
|
|
Apache Software Foundation
日本電気
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2020-13943
|
|
- JVN : JVNVU#97307781
- National Vulnerability Database (NVD) : CVE-2020-13943
|
|
- [2020年10月15日]
掲載
- [2021年08月10日]
ベンダ情報:日本電気 (Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性) を追加
|
