NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2023-34981

概要	A regression in the fix for bug 66512 in Apache Tomcat 11.0.0-M5, 10.1.8, 9.0.74 and 8.5.88 meant that, if a response did not include any HTTP headers no AJP SEND_HEADERS messare woudl be sent for the response which in turn meant that at least one AJP proxy (mod_proxy_ajp) would use the response headers from the previous request leading to an information leak.
公表日	2023年6月21日20:15
登録日	2023年6月22日10:00
最終更新日	2024年11月21日17:07

CVSS3.1 : HIGH
スコア	7.5
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	なし
可用性への影響(A)	なし

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:tomcat:10.1.8:::::::*
cpe:2.3:a:apache:tomcat:9.0.74:::::::*
cpe:2.3:a:apache:tomcat:8.5.88:::::::*
cpe:2.3:a:apache:tomcat:11.0.0:milestone5::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	https://lists.apache.org/thread/j1ksjh9m9gx1q60rtk1sbzmxhvj5h5qz		Mailing List Vendor Advisory
2	https://security.netapp.com/advisory/ntap-20230714-0003/		Third Party Advisory
3	https://lists.apache.org/thread/j1ksjh9m9gx1q60rtk1sbzmxhvj5h5qz		Mailing List Vendor Advisory
4	https://security.netapp.com/advisory/ntap-20230714-0003/		Third Party Advisory

共通脆弱性一覧

JVN脆弱性情報

Apache Tomcat における情報漏えいの脆弱性

タイトル	Apache Tomcat における情報漏えいの脆弱性
概要	Apache Tomcat には、情報漏えいの脆弱性が存在します。 Apache Tomcat の <a href="https://bz.apache.org/bugzilla/show_bug.cgi?id=66512"target="blank">バグ66512</a> の修正により発生したリグレッションが、<a href="https://bz.apache.org/bugzilla/show_bug.cgi?id=66591"target="blank">バグ66591</a> として報告され修正されました。このリグレッションには、レスポンスに HTTP ヘッダが設定されていない場合、AJP SEND_HEADERS メッセージが送信されない問題があります。これにより少なくともひとつの AJP ベースのプロキシ（mod_proxy_ajp）で、該当するリクエストに対し以前のリクエストのレスポンスヘッダが使用されるという問題（CVE-2023-34981）があります。
想定される影響	本リグレッションにより発生した問題によって、レスポンスヘッダの情報が漏えいする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者によると、本脆弱性は次のバージョンで修正されているとのことです。　* Apache Tomcat 11.0.0-M6 およびそれ以降のバージョン　* Apache Tomcat 10.1.9 およびそれ以降のバージョン　* Apache Tomcat 9.0.75 およびそれ以降のバージョン　* Apache Tomcat 8.5.89 およびそれ以降のバージョン
公表日	2023年6月22日0:00
登録日	2023年6月23日10:43
最終更新日	2023年6月23日10:43

影響を受けるシステム

Apache Software Foundation

Apache Tomcat 10.1.8

Apache Tomcat 11.0.0-M5

Apache Tomcat 8.5.88

Apache Tomcat 9.0.74

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-34981	https://www.cve.org/CVERecord?id=CVE-2023-34981

ベンダー情報

No	名前	URL
Apache Tomcat
1	Fixed in Apache Tomcat 10.1.9	https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.9
2	Fixed in Apache Tomcat 11.0.0-M6	https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M6
3	Fixed in Apache Tomcat 8.5.89	https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.89
4	Fixed in Apache Tomcat 9.0.75	https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.75
ASF Bugzilla
5	Bug 66512	https://bz.apache.org/bugzilla/show_bug.cgi?id=66512
6	Bug 66591	https://bz.apache.org/bugzilla/show_bug.cgi?id=66591
Pony Mail
7	[SECURITY] CVE-2023-34981 Apache Tomcat - Information disclosure	https://lists.apache.org/thread/j1ksjh9m9gx1q60rtk1sbzmxhvj5h5qz

その他

No	名前	URL
JVN
1	JVNVU#92908681	http://jvn.jp/vu/JVNVU92908681/index.html

変更履歴

No	変更内容	変更日
1	[2023年06月23日] 掲載	2023年6月23日10:43