【活用ガイド】

JVNDB-2023-001325

Apache Tomcat における保護されていない認証情報の送信の脆弱性

概要

Apache Tomcat には、保護されていない認証情報の送信の脆弱性が存在します。

Apache Tomcatには、https が設定された X-Forwarded-Proto ヘッダを含むリクエストを HTTP 経由でリバースプロキシから受信し、RemoteIpFilter を使用している場合において、Apache Tomcat が作成するセッション CookieにSecure 属性が含まれない問題(CVE-2023-28708)が存在します。このため、ユーザエージェントが安全でないチャネルでセッション Cookie を送信する可能性があります。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 11.0.0-M1 から 11.0.0-M2 までのバージョン
  • Apache Tomcat 10.1.0-M1 から 10.1.5 までのバージョン
  • Apache Tomcat 9.0.0-M1 から 9.0.71 までのバージョン
  • Apache Tomcat 8.5.0 から 8.5.85 までのバージョン

想定される影響

遠隔の第三者によって、セッションCookie情報が取得される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

 * Apache Tomcat 11.0.0-M3 およびそれ以降のバージョン
 * Apache Tomcat 10.1.6 およびそれ以降のバージョン
 * Apache Tomcat 9.0.72 およびそれ以降のバージョン
 * Apache Tomcat 8.5.86 およびそれ以降のバージョン
ベンダ情報

Apache Software Foundation 日立
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-28708
参考情報

  1. JVN : JVNVU#90635957
  2. National Vulnerability Database (NVD) : CVE-2023-28708
更新履歴

  • [2023年03月24日]
      掲載
  • [2023年05月23日]
      ベンダ情報:日立 (hitachi-sec-2023-116) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-28708) を追加
  • [2023年10月04日]
      ベンダ情報:日立 (hitachi-sec-2023-141) を追加