JVNDB-2023-001325

Apache Tomcat における保護されていない認証情報の送信の脆弱性

Apache Tomcat には、保護されていない認証情報の送信の脆弱性が存在します。

Apache Tomcatには、https が設定された X-Forwarded-Proto ヘッダを含むリクエストを HTTP 経由でリバースプロキシから受信し、RemoteIpFilter を使用している場合において、Apache Tomcat が作成するセッション CookieにSecure 属性が含まれない問題（CVE-2023-28708）が存在します。このため、ユーザエージェントが安全でないチャネルでセッション Cookie を送信する可能性があります。

Apache Software Foundation

• Apache Tomcat 11.0.0-M1 から 11.0.0-M2 までのバージョン
• Apache Tomcat 10.1.0-M1 から 10.1.5 までのバージョン
• Apache Tomcat 9.0.0-M1 から 9.0.71 までのバージョン
• Apache Tomcat 8.5.0 から 8.5.85 までのバージョン

遠隔の第三者によって、セッションCookie情報が取得される可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

　* Apache Tomcat 11.0.0-M3 およびそれ以降のバージョン
　* Apache Tomcat 10.1.6 およびそれ以降のバージョン
　* Apache Tomcat 9.0.72 およびそれ以降のバージョン
　* Apache Tomcat 8.5.86 およびそれ以降のバージョン

Apache Software Foundation

• Apache Tomcat : Fixed in Apache Tomcat 11.0.0-M3
• Apache Tomcat : Fixed in Apache Tomcat 10.1.6
• Apache Tomcat : Fixed in Apache Tomcat 9.0.72
• Apache Tomcat : Fixed in Apache Tomcat 8.5.86
• Pony Mail : [SECURITY] CVE-2023-28708 Apache Tomcat - Information

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2023-116
• Hitachi Software Vulnerability Information : hitachi-sec-2023-141
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2023-116
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2023-141

1. CVE-2023-28708

1. JVN : JVNVU#90635957
2. National Vulnerability Database (NVD) : CVE-2023-28708

• [2023年03月24日]
    掲載
• [2023年05月23日]
    ベンダ情報：日立 (hitachi-sec-2023-116) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2023-28708) を追加
• [2023年10月04日]
    ベンダ情報：日立 (hitachi-sec-2023-141) を追加