JVNDB-2023-002192
|
Apache Tomcat における情報漏えいの脆弱性
|
|
Apache Tomcat には、情報漏えいの脆弱性が存在します。
Apache Tomcat の バグ66512 の修正により発生したリグレッションが、バグ66591 として報告され修正されました。
このリグレッションには、レスポンスに HTTP ヘッダが設定されていない場合、AJP SEND_HEADERS メッセージが送信されない問題があります。これにより少なくともひとつの AJP ベースのプロキシ(mod_proxy_ajp)で、該当するリクエストに対し以前のリクエストのレスポンスヘッダが使用されるという問題(CVE-2023-34981)があります。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Apache Tomcat 11.0.0-M5
- Apache Tomcat 10.1.8
- Apache Tomcat 9.0.74
- Apache Tomcat 8.5.88
|
|
|
本リグレッションにより発生した問題によって、レスポンスヘッダの情報が漏えいする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。
* Apache Tomcat 11.0.0-M6 およびそれ以降のバージョン
* Apache Tomcat 10.1.9 およびそれ以降のバージョン
* Apache Tomcat 9.0.75 およびそれ以降のバージョン
* Apache Tomcat 8.5.89 およびそれ以降のバージョン
|
|
Apache Software Foundation
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2023-34981
|
|
- JVN : JVNVU#92908681
- National Vulnerability Database (NVD) : CVE-2023-34981
|
|
- [2023年06月23日]
掲載
- [2024年05月23日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2023-34981) を追加
|
