JVNDB-2020-009753
|
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
|
|
Apache Tomcat には、 HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性が存在します。
The Apache Software Foundation から、Apache Tomcat の脆弱性に対するアップデートが公開されました。
* HTTP/2 ストリーム間のリクエストヘッダの再利用 - CVE-2020-17527
HTTP/2 のコネクション内で複数のストリームを送受信する際、前のストリームで送信された HTTP リクエストのヘッダ値が、それに続くストリームのリクエストヘッダにそのまま引き継がれてしまうことがあります。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat 10.0.0-M1 から 10.0.0-M9 まで
- Apache Tomcat 9.0.0-M1 から 9.0.39 まで
- Apache Tomcat 8.5.0 から 8.5.59 まで
|
|
|
他のリクエストにヘッダ値が引き継がれることにより情報漏えいが発生する可能性があります。
ただし多くの場合、ストリーム間でヘッダ値が引き継がれるとエラーが発生し、コネクションは切断されます。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
* Apache Tomcat 10.0.0-M10
* Apache Tomcat 9.0.40
* Apache Tomcat 8.5.60
|
|
Apache Software Foundation
日本電気
|
|
- 情報漏えい(CWE-200) [その他]
|
|
- CVE-2020-17527
|
|
- JVN : JVNVU#94251682
- National Vulnerability Database (NVD) : CVE-2020-17527
|
|
- [2020年12月07日]
掲載
- [2022年01月27日]
ベンダ情報:日本電気 (NV21-004) を追加
|
