| タイトル | Apache TomcatにおけるTLSハンドシェイク処理の不備 |
|---|---|
| 概要 | The Apache Software Foundationが提供するApache Tomcatには、TLSハンドシェイクの処理に不備があり、サービス運用妨害(DoS)状態となる可能性があります(CWE-401、CVE-2024-38286)。 この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て情報セキュリティ早期警戒パートナーシップに基づきIPAへ報告し、JPCERT/CCが開発者と本アドバイザリ公表の調整を行いました。 報告者:株式会社ノースグリッド 尾崎 氏 |
| 想定される影響 | サービス運用妨害(DoS)攻撃を受ける可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。<ul><li>Apache Tomcat 11.0.0-M21</li><li>Apache Tomcat 10.1.25</li><li>Apache Tomcat 9.0.90</li></ul> |
| 公表日 | 2024年10月1日0:00 |
| 登録日 | 2024年10月1日12:12 |
| 最終更新日 | 2024年10月1日12:12 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Apache Software Foundation |
| Apache Tomcat 10.1.0-M1から10.1.24まで |
| Apache Tomcat 11.0.0-M1から11.0.0-M20まで |
| Apache Tomcat 9.0.13から9.0.89まで |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2024年10月01日] 掲載 |
2024年9月30日10:14 |
| 概要 | Allocation of Resources Without Limits or Throttling vulnerability in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M20, from 10.1.0-M1 through 10.1.24, from 9.0.13 through 9.0.89. Older, unsupported versions may also be affected. Users are recommended to upgrade to version 11.0.0-M21, 10.1.25, or 9.0.90, which fixes the issue. Apache Tomcat, under certain configurations on any platform, allows an attacker to cause an OutOfMemoryError by abusing the TLS handshake process. |
|---|---|
| 公表日 | 2024年11月7日17:15 |
| 登録日 | 2024年11月8日5:00 |
| 最終更新日 | 2024年11月21日18:25 |