| Title | Apache TomcatにおけるTLSハンドシェイク処理の不備 |
|---|---|
| Summary | The Apache Software Foundationが提供するApache Tomcatには、TLSハンドシェイクの処理に不備があり、サービス運用妨害(DoS)状態となる可能性があります(CWE-401、CVE-2024-38286)。 この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て情報セキュリティ早期警戒パートナーシップに基づきIPAへ報告し、JPCERT/CCが開発者と本アドバイザリ公表の調整を行いました。 報告者:株式会社ノースグリッド 尾崎 氏 |
| Possible impacts | サービス運用妨害(DoS)攻撃を受ける可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。<ul><li>Apache Tomcat 11.0.0-M21</li><li>Apache Tomcat 10.1.25</li><li>Apache Tomcat 9.0.90</li></ul> |
| Publication Date | Oct. 1, 2024, midnight |
| Registration Date | Oct. 1, 2024, 12:12 p.m. |
| Last Update | Oct. 1, 2024, 12:12 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Apache Software Foundation |
| Apache Tomcat 10.1.0-M1から10.1.24まで |
| Apache Tomcat 11.0.0-M1から11.0.0-M20まで |
| Apache Tomcat 9.0.13から9.0.89まで |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2024年10月01日] 掲載 |
Sept. 30, 2024, 10:14 a.m. |
| Summary | Allocation of Resources Without Limits or Throttling vulnerability in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M20, from 10.1.0-M1 through 10.1.24, from 9.0.13 through 9.0.89. Older, unsupported versions may also be affected. Users are recommended to upgrade to version 11.0.0-M21, 10.1.25, or 9.0.90, which fixes the issue. Apache Tomcat, under certain configurations on any platform, allows an attacker to cause an OutOfMemoryError by abusing the TLS handshake process. |
|---|---|
| Publication Date | Nov. 7, 2024, 5:15 p.m. |
| Registration Date | Nov. 8, 2024, 5 a.m. |
| Last Update | Nov. 21, 2024, 6:25 p.m. |