JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

ARANK

公開日：2022/09/30　最終更新日：2022/09/30JVNVU#98868043Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性が存在します。Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョンApache Tomcat 10.0.0-M1から10.0.18までのバージョンApache Tomcat 9.0.0-M1から9.0.60までのバージョンApache Tomcat 8.5.0から8.5.77までのバージョンThe Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。Http11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 (CWE-362) - CVE-2021-43980Tomcat 10で導入し、Tomcat 9.0.47以降にバックポートされた、読み取りおよび書き込みをブロックする簡易実装によって生じた脆弱性とのことです。複数のクライアントから接続された場合、Http11Processorのインスタンスを共有していることに起因して、レスポンスまたはその一部を誤ったクライアントに送信するため、情報が漏えいする可能性があります。…