「Apache Tomcat」に、DoS攻撃を受ける脆弱性(JVN) | ScanNetSecurity
2019.12.08(日)

「Apache Tomcat」に、DoS攻撃を受ける脆弱性(JVN)

IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache Tomcat」にサービス運用妨害(DoS)の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月21日、Apache Software Foundationが提供する「Apache Tomcat」にサービス運用妨害(DoS)の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.5。これは、The Apache Software Foundationから脆弱性に対するアップデートが公開されたことを受けたもの。

影響を受けるシステムは次の通り、

・Apache Tomcat 9.0.0.M1 から 9.0.19 まで
・Apache Tomcat 8.5.0 から 8.5.40 まで

これらのバージョンには、「HTTP/2 プロトコルの処理においてリソース制御が適切に行われていない(CVE-2019-10072)」脆弱性が存在する。この脆弱性が悪用されると、遠隔の第三者によってDoS攻撃を受ける可能性がある。JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。脆弱性の対策版は「Apache Tomcat 9.0.20」および「Apache Tomcat 8.5.41」。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. 業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

    業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

  2. 3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

    3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

  3. 脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

    脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

  4. セキュリティ強靭化計画対応、神奈川県のセキュリティ対策 その全容

    セキュリティ強靭化計画対応、神奈川県のセキュリティ対策 その全容

  5. 廃棄作業場への運搬中に廃棄書類が落下、一部患者の個人情報が紛失(武田病院)

    廃棄作業場への運搬中に廃棄書類が落下、一部患者の個人情報が紛失(武田病院)

  6. PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング)

    PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング)PR

  7. 不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)

    不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)

  8. 企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

    企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

  9. 「大阪市報道発表資料」の誤送信でアドレス流出、チェック表での確認を徹底し再発防止に努める(大阪市)

    「大阪市報道発表資料」の誤送信でアドレス流出、チェック表での確認を徹底し再発防止に努める(大阪市)

  10. CrowdStrike Blog:ランサムウェア Ryuk を武器に猛獣狩り、大金を生む標的型ランサムウェア

    CrowdStrike Blog:ランサムウェア Ryuk を武器に猛獣狩り、大金を生む標的型ランサムウェア

ランキングをもっと見る