JVNDB-2022-002436
|
Apache Tomcat に Http11Processor インスタンスにおける競合状態による情報漏えいの脆弱性
|
|
The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。
Http11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 (CWE-362) - CVE-2021-43980
Tomcat 10 で導入し、Tomcat 9.0.47 以降にバックポートされた、ブロッキング処理の簡素化実装によって生じた脆弱性とのことです。
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache Tomcat 10.1.0-M1 から 10.1.0-M12 までのバージョン
- Apache Tomcat 10.0.0-M1 から 10.0.18 までのバージョン
- Apache Tomcat 9.0.0-M1 から 9.0.60 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.77 までのバージョン
|
|
|
複数のクライアントから接続された場合、Http11Processor のインスタンスを共有していることに起因して、レスポンスのすべてまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。
* Apache Tomcat 10.1.0-M14 およびそれ以降のバージョン
* Apache Tomcat 10.0.20 およびそれ以降のバージョン
* Apache Tomcat 9.0.62 およびそれ以降のバージョン
* Apache Tomcat 8.5.78 およびそれ以降のバージョン
|
|
Apache Software Foundation
日立
|
|
- 競合状態(CWE-362) [NVD評価]
|
|
- CVE-2021-43980
|
|
- JVN : JVNVU#98868043
- National Vulnerability Database (NVD) : CVE-2021-43980
|
|
- [2022年10月03日]
掲載
- [2023年08月09日]
ベンダ情報:日立 (hitachi-sec-2023-131) を追加
- [2024年07月04日]
ベンダ情報:日立 (hitachi-sec-2024-123) を追加
|
