JVNDB-2023-002192

JVNDB-2023-002192
Apache Tomcat における情報漏えいの脆弱性
概要
Apache Tomcat には、情報漏えいの脆弱性が存在します。 Apache Tomcat のバグ66512 の修正により発生したリグレッションが、バグ66591 として報告され修正されました。このリグレッションには、レスポンスに HTTP ヘッダが設定されていない場合、AJP SEND_HEADERS メッセージが送信されない問題があります。これにより少なくともひとつの AJP ベースのプロキシ（mod_proxy_ajp）で、該当するリクエストに対し以前のリクエストのレスポンスヘッダが使用されるという問題（CVE-2023-34981）があります。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

Apache Software Foundation Apache Tomcat 11.0.0-M5 Apache Tomcat 10.1.8 Apache Tomcat 9.0.74 Apache Tomcat 8.5.88

想定される影響
本リグレッションにより発生した問題によって、レスポンスヘッダの情報が漏えいする可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者によると、本脆弱性は次のバージョンで修正されているとのことです。　* Apache Tomcat 11.0.0-M6 およびそれ以降のバージョン　* Apache Tomcat 10.1.9 およびそれ以降のバージョン　* Apache Tomcat 9.0.75 およびそれ以降のバージョン　* Apache Tomcat 8.5.89 およびそれ以降のバージョン
ベンダ情報
Apache Software Foundation Apache Tomcat : Fixed in Apache Tomcat 11.0.0-M6 Apache Tomcat : Fixed in Apache Tomcat 10.1.9 Apache Tomcat : Fixed in Apache Tomcat 9.0.75 Apache Tomcat : Fixed in Apache Tomcat 8.5.89 ASF Bugzilla : Bug 66512 ASF Bugzilla : Bug 66591 Pony Mail : [SECURITY] CVE-2023-34981 Apache Tomcat - Information disclosure
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?
CVE-2023-34981
参考情報
JVN : JVNVU#92908681
更新履歴
[2023年06月23日] 掲載


公表日	2023/06/22
登録日	2023/06/23
最終更新日	2023/06/23

Apache Tomcat における情報漏えいの脆弱性