JVNDB-2022-001806

Apache Tomcat における WebSocket 接続の実装に関する問題

Apache Tomcat には、WebSocket 接続の実装に起因する、データが誤った用途に利用される問題が存在します。

Web アプリケーションに WebSocket 接続のクローズと同時に WebSocket メッセージを送信した場合、アプリケーションは、ソケットが閉じられた後もソケットを使用し続ける可能性があります（CVE-2022-25762）。
これにより、後続の WebSocket 接続が同一の WebSocket オブジェクトを同時に使用してしまい、データが誤って返答されたり他のエラーが発生する可能性があります。

Apache Software Foundation

• Apache Tomcat 9.0.0.M1 から 9.0.20 までのバージョン
• Apache Tomcat 8.5.0 から 8.5.75 までのバージョン

WebSocket 接続のクローズと同時に WebSocket メッセージを送信されることで、予期せぬエラーが発生し、セキュリティ上の問題が引き起こされる可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

　* Apache Tomcat 9.0.21 およびそれ以降
　* Apache Tomcat 8.5.76 およびそれ以降

Apache Software Foundation

• The Apache Software Foundation : Fixed in Apache Tomcat 9.0.21
• The Apache Software Foundation : Fixed in Apache Tomcat 8.5.76

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2023-131
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2023-131

1. リソースの不適切なシャットダウンおよびリリース(CWE-404) [その他]

1. CVE-2022-25762

1. JVN : JVNVU#94243578
2. National Vulnerability Database (NVD) : CVE-2022-25762

• [2022年05月17日]
    掲載
• [2023年08月09日]
    ベンダ情報：日立 (hitachi-sec-2023-131) を追加